Yo te pwodwi korektif langaj pwogram Ruby 3.0.1, 2.7.3, 2.6.7 ak 2.5.9, kote de vilnerabilite yo elimine:
- CVE-2021-28965 se yon vilnerabilite nan modil REXML entegre a, ki, lè analize ak seri yon dokiman XML ki gen fòma espesyal, ka mennen nan kreyasyon yon dokiman XML ki pa kòrèk ki gen estrikti pa matche ak orijinal la. Gravite vilnerabilite a depann anpil sou kontèks la, men atak kont kèk aplikasyon ki sèvi ak REXML pa ka eskli.
- CVE-2021-28966 se yon vilnerabilite espesifik nan platfòm Windows ki pèmèt kreyasyon yon anyè oswa yon dosye abitrè nan pati sistèm fichye a ke itilizatè a ki gen dwa pwosesis Ruby la kapab ekri. Pwoblèm nan koze pa pwosesis kòrèk nan prefiks la nan metòd Dir.mktmpdir, ki pa eskli sibstitisyon an nan konstriksyon tankou "..\\". Pou atake, pwosesis la dwe itilize done ekstèn lè jenere valè prefiks la.
Sous: opennet.ru