Korigaj eldonoj de la Ruby programlingvo estis generitaj , и , kiu riparis kvar vundeblecojn. La plej danĝera vundebleco (CVE-2019-16255) en la norma biblioteko (lib/shell.rb), kiu plenumi kodon anstataŭigon. Se datumoj ricevitaj de la uzanto estas prilaboritaj en la unua argumento de la Shell#[] aŭ Shell#testmetodoj uzataj por kontroli la ĉeeston de dosiero, atakanto povas kaŭzi arbitran Ruby-metodon esti vokita.
Aliaj problemoj:
- - eksponiĝo al la enkonstruita http-servilo HTTP-responda disiga atako (se programo enigas nekontrolitajn datumojn en la HTTP-respondan kaplinion, tiam la kaplinion povas esti disigita enmetante novlinian signon);
- anstataŭigo de la nula signo (\0) en tiujn kontrolitajn per la metodoj "File.fnmatch" kaj "File.fnmatch?". dosiervojoj povas esti uzataj por false ekigi la kontrolon;
- — neo de servo en la Diges-aŭtentikiga modulo por WEBrick.
fonto: opennet.ru