Korrigerende udgivelser af Ruby-programmeringssproget 3.0.1, 2.7.3, 2.6.7 og 2.5.9 er blevet genereret, hvor to sårbarheder er elimineret:
- CVE-2021-28965 er en sårbarhed i det indbyggede REXML-modul, som ved parsing og serialisering af et specielt formateret XML-dokument kan føre til oprettelse af et forkert XML-dokument, hvis struktur ikke stemmer overens med originalen. Sværhedsgraden af sårbarheden afhænger i høj grad af konteksten, men angreb mod nogle programmer, der bruger REXML, kan ikke udelukkes.
- CVE-2021-28966 er en Windows-platformspecifik sårbarhed, der tillader oprettelse af en vilkårlig mappe eller fil i dele af filsystemet, som kan skrives af den bruger, med hvis rettigheder Ruby-processen kører. Problemet er forårsaget af forkert behandling af præfikset i Dir.mktmpdir-metoden, som ikke udelukker substitution af konstruktioner som "..\\". For at angribe skal processen bruge eksterne data, når præfiksværdien genereres.
Kilde: opennet.ru