Létrehozták a Ruby programozási nyelv javító kiadásait , и , amely négy sebezhetőséget javított ki. A legveszélyesebb biztonsági rés (CVE-2019-16255) a szabványos könyvtárban (lib/shell.rb), amely kódhelyettesítést hajt végre. Ha a felhasználótól kapott adatokat a Shell#[] vagy Shell#teszt metódusok első argumentumában dolgozzák fel egy fájl jelenlétének ellenőrzésére, akkor a támadó tetszőleges Ruby metódus meghívását idézheti elő.
Egyéb problémák:
- - expozíció a beépített http szerverrel HTTP válaszfelosztási támadás (ha egy program ellenőrizetlen adatokat szúr be a HTTP válasz fejlécébe, akkor a fejléc egy újsor karakter beszúrásával felosztható);
- a null karakter (\0) helyettesítése a „File.fnmatch” és „File.fnmatch?” metódusokkal ellenőrzött karakterekkel. a fájl elérési utak felhasználhatók az ellenőrzés hamis kiváltására;
- — szolgáltatás megtagadása a WEBrick Diges hitelesítési moduljában.
Forrás: opennet.ru