Έχουν δημιουργηθεί διορθωτικές εκδόσεις της γλώσσας προγραμματισμού Ruby 3.0.1, 2.7.3, 2.6.7 και 2.5.9, στις οποίες εξαλείφονται δύο ευπάθειες:
- Το CVE-2021-28965 είναι μια ευπάθεια στην ενσωματωμένη μονάδα REXML, η οποία, κατά την ανάλυση και τη σειριοποίηση ενός ειδικά διαμορφωμένου εγγράφου XML, μπορεί να οδηγήσει στη δημιουργία ενός εσφαλμένου εγγράφου XML του οποίου η δομή δεν ταιριάζει με το πρωτότυπο. Η σοβαρότητα της ευπάθειας εξαρτάται σε μεγάλο βαθμό από το περιβάλλον, αλλά δεν μπορούν να αποκλειστούν επιθέσεις εναντίον ορισμένων εφαρμογών που χρησιμοποιούν REXML.
- Το CVE-2021-28966 είναι μια ευπάθεια για συγκεκριμένη πλατφόρμα των Windows που επιτρέπει τη δημιουργία ενός αυθαίρετου καταλόγου ή αρχείου σε μέρη του συστήματος αρχείων που είναι εγγράψιμα από τον χρήστη με τα δικαιώματα του οποίου εκτελείται η διαδικασία Ruby. Το πρόβλημα προκαλείται από λανθασμένη επεξεργασία του προθέματος στη μέθοδο Dir.mktmpdir, η οποία δεν αποκλείει την αντικατάσταση δομών όπως "..\\". Για να επιτεθεί, η διεργασία πρέπει να χρησιμοποιεί εξωτερικά δεδομένα κατά τη δημιουργία της τιμής του προθέματος.
Πηγή: opennet.ru