Korrigearjende releases fan de Ruby-programmearring taal 3.0.1, 2.7.3, 2.6.7 en 2.5.9 binne generearre, wêryn twa kwetsberens wurde eliminearre:
- CVE-2021-28965 is in kwetsberens yn 'e ynboude REXML-module, dy't, by it parsearjen en serialisearjen fan in spesjaal opmakke XML-dokumint, kin liede ta it meitsjen fan in ferkeard XML-dokumint wêrfan de struktuer net oerienkomt mei it orizjineel. De earnst fan 'e kwetsberens hinget sterk ôf fan' e kontekst, mar oanfallen tsjin guon applikaasjes dy't REXML brûke kinne net útsletten wurde.
- CVE-2021-28966 - Platfoarmspesifyk Windows In kwetsberens dy't it oanmeitsjen mooglik makket fan in willekeurige map of triem yn triemsysteemdielen dy't skriuwber binne troch de brûker mei waans privileezjes it Ruby-proses útfiert. It probleem wurdt feroarsake troch ferkearde prefiksôfhanneling yn 'e Dir.mktmpdir-metoade, dy't it ferfangen fan konstruksjes lykas "..\\" mooglik makket. Om de oanfal út te fieren, moat it proses eksterne gegevens brûke by it foarmjen fan 'e prefikswearde.
Boarne: opennet.ru
