Korrigerende udgivelser af Ruby-programmeringssproget er blevet genereret , и , som rettede fire sårbarheder. Den farligste sårbarhed (CVE-2019-16255) i standardbiblioteket (lib/shell.rb), som udføre kodesubstitution. Hvis data modtaget fra brugeren behandles i det første argument af Shell#[]- eller Shell#testmetoderne, der bruges til at kontrollere tilstedeværelsen af en fil, kan en angriber forårsage, at en vilkårlig Ruby-metode kaldes.
Andre problemer:
- - eksponering for den indbyggede http-server HTTP-svaropdelingsangreb (hvis et program indsætter ubekræftede data i HTTP-svarheaderen, så kan headeren opdeles ved at indsætte et nylinjetegn);
- substitution af null-tegnet (\0) i dem, der er kontrolleret gennem metoderne "File.fnmatch" og "File.fnmatch?". filstier kan bruges til fejlagtigt at udløse kontrollen;
- — lammelsesangreb i Diges-godkendelsesmodulet til WEBrick.
Kilde: opennet.ru