🥇به روز رسانی Ruby 3.0.1 با آسیب پذیری رفع شد

نسخه های اصلاحی زبان برنامه نویسی Ruby 3.0.1، 2.7.3، 2.6.7 و 2.5.9 تولید شده است که در آن دو آسیب پذیری حذف شده است:

CVE-2021-28965 یک آسیب پذیری در ماژول داخلی REXML است که هنگام تجزیه و سریال سازی یک سند XML فرمت شده خاص، می تواند منجر به ایجاد یک سند XML نادرست شود که ساختار آن با اصلی مطابقت ندارد. شدت آسیب پذیری به شدت به زمینه بستگی دارد، اما حملات علیه برخی از برنامه هایی که از REXML استفاده می کنند را نمی توان رد کرد.
CVE-2021-28966 یک آسیب‌پذیری خاص پلتفرم ویندوز است که اجازه می‌دهد یک فهرست یا فایل دلخواه در قسمت‌هایی از سیستم فایل ایجاد شود که توسط کاربری که فرآیند Ruby با حقوق او اجرا می‌شود، قابل نوشتن است. مشکل ناشی از پردازش نادرست پیشوند در روش Dir.mktmpdir است که جایگزینی ساختارهایی مانند "..\\" را حذف نمی کند. برای حمله، فرآیند باید هنگام تولید مقدار پیشوند از داده های خارجی استفاده کند.

به روز رسانی Ruby 3.0.1 با رفع آسیب پذیری ها