Ruby programmeerimiskeele korrektsiooniversioonid on välja antud , ja , milles on kõrvaldatud neli turvaviga. Kõige ohtlikum viga (CVE-2019-16255) standardraamatukogus (lib/shell.rb), mis teeb koodi asendamise võimaliku. Kui töötada kasutajalt saadud andmetega Shell#[] või Shell#test meetodite esimeses argumendis, mida kasutatakse faili olemasolu kontrollimiseks, võib ründaja saavutada suvalise Ruby meetodi väljakutse.
Muud probleemid:
- — WEBrick integreeritud http-serveri haavatavus атаке по разделению ответов HTTP (если программа подставляет непроверенные данные в HTTP-заголовок ответа, то через вставку символа перевода строки можно разделить заголовок);
- nullsümboli (\0) asendamine «File.fnmatch» ja «File.fnmatch?» meetoditega kontrollitavates failiteedes, võib viia valepositiivse kontrolli;
- — teenuse katkestamine WEBrick Diges autentimise moodulis.
Allikas: opennet.ru
