به روز رسانی Ruby 2.6.5، 2.5.7 و 2.4.8 با رفع آسیب پذیری ها
نسخه های اصلاحی زبان برنامه نویسی Ruby تولید شده است 2.6.5, 2.5.7 и 2.4.8، که چهار آسیب پذیری را برطرف کرد. خطرناک ترین آسیب پذیری (CVE-2019-16255) در کتابخانه استاندارد صدف (lib/shell.rb)، که اجازه می دهد تا تعویض کد را انجام دهید اگر دادههای دریافت شده از کاربر در اولین آرگومان روشهای Shell#[] یا Shell# که برای بررسی وجود یک فایل استفاده میشود، پردازش شود، مهاجم میتواند باعث فراخوانی یک متد Ruby دلخواه شود.
مشکلات دیگر:
CVE-2019-16254 - قرار گرفتن در معرض سرور http داخلی وب بریک حمله تقسیم پاسخ HTTP (اگر برنامه ای داده های تایید نشده را در هدر پاسخ HTTP وارد کند، می توان با درج یک کاراکتر خط جدید، هدر را تقسیم کرد).
CVE-2019-15845 جایگزینی کاراکتر تهی (\0) به مواردی که از طریق روشهای «File.fnmatch» و «File.fnmatch؟» بررسی میشوند. از مسیرهای فایل می توان برای راه اندازی نادرست چک استفاده کرد.
CVE-2019-16201 - انکار سرویس در ماژول احراز هویت Diges برای WEBrick.