Ruby programazio-lengoaiaren 3.0.1, 2.7.3, 2.6.7 eta 2.5.9 bertsio zuzentzaileak sortu dira, eta horietan bi ahultasun ezabatzen dira:
- CVE-2021-28965 integratutako REXML moduluan dagoen ahultasun bat da, eta, bereziki formateatutako XML dokumentu bat analizatzean eta serializatzean, egitura jatorrizkoarekin bat ez datorren XML dokumentu oker bat sortzea ekar dezake. Ahultasunaren larritasuna testuinguruaren araberakoa da, baina ezin dira baztertu REXML erabiltzen duten aplikazio batzuen aurkako erasoak.
- CVE-2021-28966 Windows plataformako berariazko ahultasun bat da, eta Ruby prozesua exekutatzen ari den erabiltzaileak eskubideekin idatz ditzakeen fitxategi-sistemaren zatietan direktorio edo fitxategi arbitrario bat sortzea ahalbidetzen du. Arazoa Dir.mktmpdir metodoko aurrizkiaren prozesamendu okerrak eragiten du, eta horrek ez du baztertzen β..\\β bezalako eraikuntzak ordezkatzea. Eraso egiteko, prozesuak kanpoko datuak erabili behar ditu aurrizkiaren balioa sortzerakoan.
Iturria: opennet.ru