Generisana su korektivna izdanja programskog jezika Ruby 3.0.1, 2.7.3, 2.6.7 i 2.5.9, u kojima su eliminisana dva propusta:
- CVE-2021-28965 je ranjivost u ugrađenom REXML modulu, koja pri raščlanjivanju i serijalizaciji posebno formatiranog XML dokumenta može dovesti do stvaranja pogrešnog XML dokumenta čija struktura ne odgovara originalu. Ozbiljnost ranjivosti uvelike ovisi o kontekstu, ali se ne mogu isključiti napadi na neke aplikacije koje koriste REXML.
- CVE-2021-28966 je ranjivost specifična za Windows platformu koja omogućava kreiranje proizvoljnog direktorija ili datoteke u dijelovima sistema datoteka u koje može pisati korisnik s čijim pravima Ruby proces pokreće. Problem je uzrokovan neispravnom obradom prefiksa u metodi Dir.mktmpdir, što ne isključuje zamjenu konstrukcija poput “..\\”. Za napad, proces mora koristiti vanjske podatke kada generira vrijednost prefiksa.
izvor: opennet.ru