Ua hana ʻia nā hoʻokuʻu hoʻoponopono o ka ʻōlelo papahana Ruby , и , i hoʻopaʻa i ʻehā mau nāwaliwali. ʻO ka pilikia weliweli loa (CVE-2019-16255) i ka waihona maʻamau (lib/shell.rb), ʻo ia hana i ka hoʻololi code. Inā hoʻohana ʻia nā ʻikepili i loaʻa mai ka mea hoʻohana ma ka hoʻopaʻapaʻa mua o ka Shell#[] a i ʻole Shell# hoʻāʻo ʻana i hoʻohana ʻia no ka nānā ʻana i kahi faila, hiki i ka mea hoʻouka ke kāhea ʻia kahi ala Ruby kūʻokoʻa.
Nā pilikia ʻē aʻe:
- - ka ʻike ʻana i ke kikowaena http i kūkulu ʻia HTTP pane splitting attack (inā hoʻokomo kekahi polokalamu i ka ʻikepili i hōʻoia ʻole ʻia i loko o ka pane pane HTTP, a laila hiki ke hoʻokaʻawale ʻia ke poʻo ma ka hoʻokomo ʻana i kahi ʻano laina hou);
- ka hoʻololi ʻana i ka huaʻōlelo null (\0) i nā mea i nānā ʻia ma o ke ʻano "File.fnmatch" a me "File.fnmatch?" Hiki ke hoʻohana ʻia nā ala waihona no ka hoʻopunipuni hewa ʻana i ka nānā;
- - ka hōʻole ʻana i ka lawelawe ma ka module hōʻoia Diges no WEBrick.
Source: opennet.ru