Des versions correctives du langage de programmation Ruby 3.0.1, 2.7.3, 2.6.7 et 2.5.9 ont été générées, dans lesquelles deux vulnérabilités sont éliminées :
- CVE-2021-28965 est une vulnĂ©rabilitĂ© dans le module REXML intĂ©grĂ© qui, lors de l'analyse et de la sĂ©rialisation d'un document XML spĂ©cialement formatĂ©, peut conduire Ă la crĂ©ation d'un document XML incorrect dont la structure ne correspond pas Ă l'original. La gravitĂ© de la vulnĂ©rabilitĂ© dĂ©pend fortement du contexte, mais des attaques contre certaines applications utilisant REXML ne peuvent ĂȘtre exclues.
- CVE-2021-28966 - Spécifique à la plateforme Windows Une vulnérabilité permet la création d'un répertoire ou d'un fichier arbitraire dans les parties du systÚme de fichiers accessibles en écriture par l'utilisateur avec les privilÚges duquel s'exécute le processus Ruby. Ce problÚme est dû à une gestion incorrecte des préfixes dans la méthode `Dir.mktmpdir`, qui autorise la substitution de constructions telles que `..\\`. Pour mener à bien l'attaque, le processus doit utiliser des données externes lors de la formation de la valeur du préfixe.
Source: opennet.ru
