Ruby-ohjelmointikielen korjaavat julkaisut on luotu , и , joka korjasi neljä haavoittuvuutta. Vakiokirjaston vaarallisin haavoittuvuus (CVE-2019-16255). (lib/shell.rb), joka suorittaa koodin korvaaminen. Jos käyttäjältä saatuja tietoja käsitellään Shell#[]- tai Shell#-testimenetelmien ensimmäisessä argumentissa, jota käytetään tiedoston olemassaolon tarkistamiseen, hyökkääjä voi saada mielivaltaisen Ruby-menetelmän kutsun.
Muita ongelmia:
- - altistuminen sisäänrakennetulle http-palvelimelle HTTP-vastauksen jakamishyökkäys (jos ohjelma lisää vahvistamattomia tietoja HTTP-vastauksen otsikkoon, otsikko voidaan jakaa lisäämällä rivinvaihtomerkki);
- nollamerkin (\0) korvaaminen "File.fnmatch"- ja "File.fnmatch?"-menetelmillä tarkistetuilla merkinnöillä. tiedostopolkuja voidaan käyttää virheellisesti käynnistämään tarkistus;
- — Palvelunesto WEBrickin Diges-todennusmoduulissa.
Lähde: opennet.ru