Korrigearjende releases fan de Ruby-programmearring taal 3.0.1, 2.7.3, 2.6.7 en 2.5.9 binne generearre, wêryn twa kwetsberens wurde eliminearre:
- CVE-2021-28965 is in kwetsberens yn 'e ynboude REXML-module, dy't, by it parsearjen en serialisearjen fan in spesjaal opmakke XML-dokumint, kin liede ta it meitsjen fan in ferkeard XML-dokumint wêrfan de struktuer net oerienkomt mei it orizjineel. De earnst fan 'e kwetsberens hinget sterk ôf fan' e kontekst, mar oanfallen tsjin guon applikaasjes dy't REXML brûke kinne net útsletten wurde.
- CVE-2021-28966 is in Windows-platfoarm-spesifike kwetsberens dy't it oanmeitsjen fan in willekeurige map of bestân mooglik makket yn dielen fan it bestânsysteem dy't skriuwber binne troch de brûker mei waans rjochten it Ruby-proses rint. It probleem wurdt feroarsake troch ferkearde ferwurking fan it foarheaksel yn 'e Dir.mktmpdir-metoade, dy't de ferfanging fan konstruksjes lykas "..\\" net útslút. Om oan te fallen moat it proses eksterne gegevens brûke by it generearjen fan de foarheakselwearde.
Boarne: opennet.ru