Korrigearjende releases fan 'e Ruby-programmearringstaal binne oanmakke , и , dy't fjouwer kwetsberens repareare. De gefaarlikste kwetsberens (CVE-2019-16255) yn 'e standertbibleteek (lib/shell.rb), hokker útfiere koade ferfanging. As gegevens ûntfongen fan 'e brûker wurde ferwurke yn it earste argumint fan' e Shell#[] of Shell# testmetoaden dy't brûkt wurde om de oanwêzigens fan in bestân te kontrolearjen, kin in oanfaller in willekeurige Ruby-metoade feroarsaakje.
Oare problemen:
- - bleatstelling oan de ynboude http-tsjinner HTTP-antwurd splitting oanfal (as in programma net ferifiearre gegevens ynfoet yn 'e HTTP-antwurdkoptekst, dan kin de koptekst splitst wurde troch in nijline-karakter yn te foegjen);
- ferfanging fan it nulkarakter (\0) yn dy kontrolearre troch de metoaden "File.fnmatch" en "File.fnmatch?". triempaden kinne brûkt wurde om de kontrôle falsk te triggerjen;
- - tsjinstferliening yn 'e Diges-ferifikaasjemodule foar WEBrick.
Boarne: opennet.ru