Se han generado versiones correctivas del lenguaje de programación Ruby , и , que solucionó cuatro vulnerabilidades. La vulnerabilidad más peligrosa (CVE-2019-16255) en la biblioteca estándar (lib/shell.rb), que realizar la sustitución de código. Si los datos recibidos del usuario se procesan en el primer argumento de los métodos Shell#[] o Shell#test utilizados para comprobar la presencia de un archivo, un atacante puede provocar que se llame a un método Ruby arbitrario.
Otros problemas:
- - exposición al servidor http integrado Ataque de división de respuesta HTTP (si un programa inserta datos no verificados en el encabezado de respuesta HTTP, entonces el encabezado se puede dividir insertando un carácter de nueva línea);
- sustitución del carácter nulo (\0) por los marcados mediante los métodos “File.fnmatch” y “File.fnmatch?”. las rutas de archivo se pueden utilizar para activar falsamente la verificación;
- — denegación de servicio en el módulo de autenticación Diges para WEBrick.
Fuente: opennet.ru