Päivitä Ruby 2.6.5, 2.5.7 ja 2.4.8 haavoittuvuuksilla korjattu
Ruby-ohjelmointikielen korjaavat julkaisut on luotu 2.6.5, 2.5.7 и 2.4.8, joka korjasi neljä haavoittuvuutta. Vakiokirjaston vaarallisin haavoittuvuus (CVE-2019-16255). Kuori (lib/shell.rb), joka sen avulla suorittaa koodin korvaaminen. Jos käyttäjältä saatuja tietoja käsitellään Shell#[]- tai Shell#-testimenetelmien ensimmäisessä argumentissa, jota käytetään tiedoston olemassaolon tarkistamiseen, hyökkääjä voi saada mielivaltaisen Ruby-menetelmän kutsun.
Muita ongelmia:
CVE-2019-16254 - altistuminen sisäänrakennetulle http-palvelimelle WEBrick HTTP-vastauksen jakamishyökkäys (jos ohjelma lisää vahvistamattomia tietoja HTTP-vastauksen otsikkoon, otsikko voidaan jakaa lisäämällä rivinvaihtomerkki);
CVE-2019-15845 nollamerkin (\0) korvaaminen "File.fnmatch"- ja "File.fnmatch?"-menetelmillä tarkistetuilla merkinnöillä. tiedostopolkuja voidaan käyttää virheellisesti käynnistämään tarkistus;