Թարմացրեք Ruby 2.6.5-ը, 2.5.7-ը և 2.4.8-ը՝ շտկված խոցելիությամբ
Ստեղծվել են Ruby ծրագրավորման լեզվի ուղղիչ թողարկումներ 2.6.5, 2.5.7 и 2.4.8, որն ուղղել է չորս խոցելիություն։ Ամենավտանգավոր խոցելիությունը (CVE-2019-16255) ստանդարտ գրադարանում Խեցի (lib/shell.rb), որը թույլ է տալիս կատարել ծածկագրի փոխարինում: Եթե օգտագործողից ստացված տվյալները մշակվում են Shell#[] կամ Shell# թեստի մեթոդների առաջին արգումենտում, որն օգտագործվում է ֆայլի առկայությունը ստուգելու համար, հարձակվողը կարող է հանգեցնել կամայական Ruby մեթոդի կանչմանը:
Այլ խնդիրներ.
CVE-2019-16254- ը - ներկառուցված http սերվերի ազդեցություն WEBrick HTTP պատասխանի բաժանման գրոհ (եթե ծրագիրը չստուգված տվյալներ է տեղադրում HTTP պատասխանի վերնագրի մեջ, ապա վերնագիրը կարող է բաժանվել՝ տեղադրելով նոր տող նիշ);
CVE-2019-15845- ը «File.fnmatch» և «File.fnmatch?» մեթոդներով ստուգված նիշերի (\0) փոխարինում: ֆայլի ուղիները կարող են օգտագործվել ստուգումը կեղծ կերպով գործարկելու համար.
CVE-2019-16201- ը — ծառայությունից հրաժարվելը WEBrick-ի համար Diges վավերացման մոդուլում: