🥇به روز رسانی Ruby 2.6.5، 2.5.7 و 2.4.8 با رفع آسیب پذیری ها

نسخه های اصلاحی زبان برنامه نویسی Ruby تولید شده است 2.6.5, 2.5.7 и 2.4.8، که چهار آسیب پذیری را برطرف کرد. خطرناک ترین آسیب پذیری (CVE-2019-16255) در کتابخانه استاندارد صدف (lib/shell.rb)، که اجازه می دهد تا تعویض کد را انجام دهید اگر داده‌های دریافت شده از کاربر در اولین آرگومان روش‌های Shell#[] یا Shell# که برای بررسی وجود یک فایل استفاده می‌شود، پردازش شود، مهاجم می‌تواند باعث فراخوانی یک متد Ruby دلخواه شود.

مشکلات دیگر:

CVE-2019-16254 - قرار گرفتن در معرض سرور http داخلی وب بریک حمله تقسیم پاسخ HTTP (اگر برنامه ای داده های تایید نشده را در هدر پاسخ HTTP وارد کند، می توان با درج یک کاراکتر خط جدید، هدر را تقسیم کرد).
CVE-2019-15845 جایگزینی کاراکتر تهی (\0) به مواردی که از طریق روش‌های «File.fnmatch» و «File.fnmatch؟» بررسی می‌شوند. از مسیرهای فایل می توان برای راه اندازی نادرست چک استفاده کرد.
CVE-2019-16201 - انکار سرویس در ماژول احراز هویت Diges برای WEBrick.

منبع: opennet.ru

به روز رسانی Ruby 2.6.5، 2.5.7 و 2.4.8 با رفع آسیب پذیری ها

اضافه کردن نظر انصراف از پاسخ