Värskendage Ruby versioone 2.6.5, 2.5.7 ja 2.4.8 parandatud haavatavustega
Loodud on Ruby programmeerimiskeele korrigeerivad väljaanded 2.6.5, 2.5.7 и 2.4.8, mis parandas neli turvaauku. Standardteegi kõige ohtlikum haavatavus (CVE-2019-16255). Shell (lib/shell.rb), mis võimaldab teostada koodi asendamine. Kui kasutajalt saadud andmeid töödeldakse faili olemasolu kontrollimiseks kasutatavate Shell#[] või Shell# testmeetodite esimeses argumendis, võib ründaja kutsuda esile suvalise Ruby meetodi.
Muud probleemid:
CVE-2019-16254 - kokkupuude sisseehitatud http-serveriga WEBrick HTTP vastuse tükeldamise rünnak (kui programm lisab HTTP vastuse päisesse kontrollimata andmed, siis saab päise poolitada reavahetusmärgi lisamisega);
CVE-2019-15845 nullmärgi (\0) asendamine märkidega, mida kontrolliti meetodite „File.fnmatch” ja „File.fnmatch?” kaudu. failiteid saab kasutada kontrolli ekslikult käivitamiseks;