Byla vygenerována opravná vydání programovacího jazyka Ruby 3.0.1, 2.7.3, 2.6.7 a 2.5.9, ve kterých jsou odstraněny dvě zranitelnosti:
- CVE-2021-28965 je zranitelnost vestavěného modulu REXML, která při analýze a serializaci speciálně formátovaného dokumentu XML může vést k vytvoření nesprávného dokumentu XML, jehož struktura neodpovídá originálu. Závažnost chyby zabezpečení do značné míry závisí na kontextu, ale útoky proti některým aplikacím, které používají REXML, nelze vyloučit.
- CVE-2021-28966 je zranitelnost specifická pro platformu Windows, která umožňuje vytvoření libovolného adresáře nebo souboru v částech systému souborů, do kterých může zapisovat uživatel, s jehož právy běží proces Ruby. Problém je způsoben nesprávným zpracováním prefixu v metodě Dir.mktmpdir, což nevylučuje záměnu konstrukcí jako „..\\“. K útoku musí proces při generování hodnoty prefixu použít externí data.
Zdroj: opennet.ru