I versioni currettivi di a lingua di prugrammazione Ruby sò stati generati , и , chì hà riparatu quattru vulnerabili. A vulnerabilità più periculosa (CVE-2019-16255) in a biblioteca standard (lib/shell.rb), chì realizà a sostituzione di codice. Se i dati ricevuti da l'utilizatore sò trattati in u primu argumentu di i metudi di teste Shell#[] o Shell#test utilizati per verificà a prisenza di un schedariu, un attaccante pò ottene a chjama di un metudu Ruby arbitrariu.
Altri prublemi:
- - esposizione à u servitore http integratu Attaccu di split di risposta HTTP (se un prugramma inserisce dati micca verificati in l'intestazione di a risposta HTTP, allora l'intestazione pò esse divisa inserendu un caratteru newline);
- sustituzione di u caratteru nulu (\0) in quelli verificati cù i metudi "File.fnmatch" è "File.fnmatch?". i percorsi di u schedariu ponu esse utilizati per falsamente attivà u cuntrollu;
- - denial of service in u modulu di autentificazione Diges per WEBrick.
Source: opennet.ru