Loodud on Ruby programmeerimiskeele 3.0.1, 2.7.3, 2.6.7 ja 2.5.9 korrigeerivad väljalasked, milles on kõrvaldatud kaks haavatavust:
- CVE-2021-28965 on sisseehitatud REXML-mooduli haavatavus, mis erivormingus XML-dokumendi sõelumisel ja jadamisel võib viia vale XML-dokumendi loomiseni, mille struktuur ei ühti originaaliga. Haavatavuse raskusaste sõltub suuresti kontekstist, kuid välistada ei saa rünnakuid mõne REXML-i kasutava rakenduse vastu.
- CVE-2021-28966 on Windowsi platvormipõhine haavatavus, mis võimaldab luua suvalise kataloogi või faili failisüsteemi osades, mida saab kirjutada kasutaja, kelle õigustega Ruby protsess töötab. Probleemi põhjustab prefiksi vale töötlemine meetodis Dir.mktmpdir, mis ei välista selliste konstruktsioonide asendamist nagu “..\\”. Rünnakuks peab protsess prefiksi väärtuse genereerimisel kasutama välisandmeid.
Allikas: opennet.ru