🥇Ruby 2.6.5, 2.5.7 и 2.4.8 актуализация с поправки за сигурност

Създадени са коригиращи версии на езика за програмиране Ruby 2.6.5, 2.5.7 и 2.4.8, който поправи четири уязвимости. Най-опасната уязвимост (CVE-2019-16255) в стандартната библиотека Черупка (lib/shell.rb), който Тя позволява на извършете заместване на кода. В случай на обработка на данните, получени от потребителя в първия аргумент на методите Shell#[] или Shell#test, използвани за проверка на съществуването на файл, атакуващият може да постигне извикването на произволен Ruby метод.

Други проблеми:

CVE-2019 16254- - излагане на вградения http сървър WEBrick Атака за разделяне на HTTP отговор (ако програмата замени непроверени данни в заглавката на HTTP отговора, тогава заглавката може да бъде разделена чрез вмъкване на символ за нов ред);
CVE-2019 15845- заместване на нулевия знак (\0) в проверените чрез методите "File.fnmatch" и "File.fnmatch?" файлови пътища, могат да се използват за фалшиво положително проверка;
CVE-2019 16201- — отказ от услуга в модула за удостоверяване на Diges за WEBrick.

Източник: opennet.ru

Ruby 2.6.5, 2.5.7 и 2.4.8 актуализация с поправки за сигурност

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар