Es wurden Korrekturversionen der Programmiersprache Ruby generiert , и , wodurch vier Schwachstellen behoben wurden. Die gefährlichste Schwachstelle (CVE-2019-16255) in der Standardbibliothek (lib/shell.rb), die Führen Sie eine Code-Ersetzung durch. Wenn vom Benutzer empfangene Daten im ersten Argument der Methoden Shell#[] oder Shell#test verarbeitet werden, mit denen das Vorhandensein einer Datei überprüft wird, kann ein Angreifer den Aufruf einer beliebigen Ruby-Methode veranlassen.
Andere Probleme:
- - Exposition gegenüber dem integrierten http-Server HTTP-Response-Splitting-Angriff (wenn ein Programm ungeprüfte Daten in den HTTP-Response-Header einfügt, kann der Header durch Einfügen eines Zeilenumbruchzeichens geteilt werden);
- Ersetzung des Nullzeichens (\0) durch die mit den Methoden „File.fnmatch“ und „File.fnmatch?“ überprüften Zeichen. Dateipfade können verwendet werden, um die Prüfung fälschlicherweise auszulösen;
- – Denial of Service im Diges-Authentifizierungsmodul für WEBrick.
Source: opennet.ru