Loodud on Ruby programmeerimiskeele korrigeerivad väljaanded , и , mis parandas neli turvaauku. Standardteegi kõige ohtlikum haavatavus (CVE-2019-16255). (lib/shell.rb), mis teostada koodi asendamine. Kui kasutajalt saadud andmeid töödeldakse faili olemasolu kontrollimiseks kasutatavate Shell#[] või Shell# testmeetodite esimeses argumendis, võib ründaja kutsuda esile suvalise Ruby meetodi.
Muud probleemid:
- - kokkupuude sisseehitatud http-serveriga HTTP vastuse tükeldamise rünnak (kui programm lisab HTTP vastuse päisesse kontrollimata andmed, siis saab päise poolitada reavahetusmärgi lisamisega);
- nullmärgi (\0) asendamine märkidega, mida kontrolliti meetodite „File.fnmatch” ja „File.fnmatch?” kaudu. failiteid saab kasutada kontrolli ekslikult käivitamiseks;
- — teenuse keelamine WEBricki autentimismoodulis Diges.
Allikas: opennet.ru