Kev kho qhov tso tawm ntawm Ruby programming lus tau raug tsim tawm , ΠΈ , uas kho plaub qhov tsis zoo. Qhov teeb meem txaus ntshai tshaj plaws (CVE-2019-16255) hauv lub tsev qiv ntawv qauv (lib/shell.rb), uas ua code hloov. Yog tias cov ntaub ntawv tau txais los ntawm tus neeg siv tau ua tiav hauv thawj qhov kev sib cav ntawm Plhaub #[] lossis Plhaub #test txoj kev siv los xyuas qhov muaj cov ntaub ntawv, tus neeg tawm tsam tuaj yeem ua rau hu ua Ruby txoj kev arbitrary.
Lwm yam teeb meem:
- - raug rau lub built-in http server HTTP teb splitting nres (yog tias ib qho kev pab cuam ntxig cov ntaub ntawv tsis tau lees paub rau hauv HTTP cov lus teb header, ces lub header tuaj yeem raug cais los ntawm kev ntxig tus cim tshiab);
- hloov pauv ntawm tus cwj pwm null (\0) rau hauv cov kev kuaj xyuas los ntawm "File.fnmatch" thiab "File.fnmatch?" txoj kev. cov ntaub ntawv txoj kev tuaj yeem siv los ua kom tsis raug rau daim tshev;
- - Kev tsis lees paub kev pabcuam hauv Diges authentication module rau WEBrick.
Tau qhov twg los: opennet.ru