Сфарміраваны карэкціруючыя рэлізы мовы праграмавання Ruby 3.0.1, 2.7.3, 2.6.7 і 2.5.9, у якіх ухілены дзве ўразлівасці:
- CVE-2021-28965 - уразлівасць ва ўбудаваным модулі REXML, якая пры разборы і серыялізацыі спецыяльна аформленага XML-дакумента можа прывесці да стварэння некарэктнага XML-дакумента, структура якога не супадае з арыгіналам. Небяспека ўразлівасці моцна залежыць ад кантэксту, але не выключаецца арганізацыя нападаў на некаторыя прыкладанні, якія выкарыстоўваюць REXML.
- CVE-2021-28966 – спецыфічная для платформы Windows уразлівасць, якая дазваляе стварыць адвольны каталог або файл у частках ФС, у якіх дазволены запіс для карыстача, з правамі якога выконваецца працэс Ruby. Праблема выклікана няслушнай апрацоўкай прэфікса ў метадзе Dir.mktmpdir, у якім не выключаецца падстаноўка канструкцый выгляду "..\\". Для нападу працэс павінен выкарыстоўваць вонкавыя дадзеныя пры фармаванні значэння прэфікса.
Крыніца: opennet.ru