Cynhyrchwyd datganiadau cywirol o iaith raglennu Ruby , и , a sefydlogodd bedwar bregusrwydd. Y bregusrwydd mwyaf peryglus (CVE-2019-16255) yn y llyfrgell safonol (lib/shell.rb), sydd perfformio amnewid cod. Os caiff data a dderbynnir gan y defnyddiwr ei brosesu yn nadl gyntaf y dulliau prawf Shell#[] neu Shell# a ddefnyddir i wirio presenoldeb ffeil, gall ymosodwr gyflawni galwad dull Ruby mympwyol.
Problemau eraill:
- - amlygiad i'r gweinydd http adeiledig Ymosodiad hollti ymateb HTTP (os yw rhaglen yn mewnosod data heb ei wirio ym mhennyn ymateb HTTP, yna gellir rhannu'r pennawd trwy fewnosod nod llinell newydd);
- amnewid y nod null (\0) i'r rhai a wiriwyd drwy'r dulliau “File.fnmatch” a “File.fnmatch?”. gellir defnyddio llwybrau ffeil i sbarduno'r siec ar gam;
- — gwrthod gwasanaeth yn y modiwl dilysu Diges ar gyfer WEBrick.
Ffynhonnell: opennet.ru