Korektaj eldonoj de la Ruby programlingvo 3.0.1, 2.7.3, 2.6.7 kaj 2.5.9 estis generitaj, en kiuj du vundeblecoj estas eliminitaj:
- CVE-2021-28965 estas vundebleco en la enkonstruita REXML-modulo, kiu, kiam oni analizas kaj seriigas speciale formatitan XML-dokumenton, povas konduki al kreado de malĝusta XML-dokumento, kies strukturo ne kongruas kun la originalo. La severeco de la vundebleco dependas multe de la kunteksto, sed atakoj kontraŭ iuj aplikaĵoj, kiuj uzas REXML, ne povas esti ekskluditaj.
- CVE-2021-28966 estas Vindoza platform-specifa vundebleco, kiu permesas la kreadon de arbitra dosierujo aŭ dosiero en partoj de la dosiersistemo, kiuj estas skribeblaj de la uzanto kun kies rajtoj la Ruby-procezo funkcias. La problemo estas kaŭzita de malĝusta prilaborado de la prefikso en la metodo Dir.mktmpdir, kiu ne ekskludas la anstataŭigon de konstruoj kiel “..\\”. Por ataki, la procezo devas uzi eksterajn datumojn dum generado de la prefiksa valoro.
fonto: opennet.ru