Ստեղծվել են Ruby ծրագրավորման լեզվի 3.0.1, 2.7.3, 2.6.7 և 2.5.9 ուղղիչ թողարկումները, որոնցում վերացվել են երկու խոցելիություն.
- CVE-2021-28965-ը խոցելիություն է ներկառուցված REXML մոդուլում, որը հատուկ ձևաչափված XML փաստաթուղթը վերլուծելիս և սերիականացնելիս կարող է հանգեցնել սխալ XML փաստաթղթի ստեղծմանը, որի կառուցվածքը չի համապատասխանում բնօրինակին: Խոցելիության խստությունը մեծապես կախված է համատեքստից, սակայն REXML օգտագործող որոշ հավելվածների դեմ հարձակումները չեն կարող բացառվել:
- CVE-2021-28966-ը Windows-ի հարթակին հատուկ խոցելիություն է, որը թույլ է տալիս ստեղծել կամայական գրացուցակ կամ ֆայլ ֆայլային համակարգի այն մասերում, որոնք գրավորելի են այն օգտատիրոջ կողմից, որի իրավունքներով աշխատում է Ruby գործընթացը: Խնդիրն առաջացել է Dir.mktmpdir մեթոդով նախածանցի սխալ մշակումից, որը չի բացառում «..\\» նման կոնստրուկցիաների փոխարինումը։ Հարձակման համար գործընթացը պետք է օգտագործի արտաքին տվյալներ նախածանցի արժեքը ստեղծելիս:
Source: opennet.ru