Rilis korektif bahasa pemrograman Ruby telah dibuat , ΠΈ , yang memperbaiki empat kerentanan. Kerentanan paling berbahaya (CVE-2019-16255) di perpustakaan standar (lib/shell.rb), yang mana melakukan substitusi kode. Jika data yang diterima dari pengguna diproses dalam argumen pertama metode Shell#[] atau Shell#test yang digunakan untuk memeriksa keberadaan file, penyerang dapat memanggil metode Ruby arbitrer.
Masalah lainnya:
- - paparan ke server http bawaan Serangan pemisahan respons HTTP (jika program memasukkan data yang belum diverifikasi ke dalam header respons HTTP, maka header dapat dipecah dengan memasukkan karakter baris baru);
- substitusi karakter null (\0) ke dalam karakter yang diperiksa melalui metode βFile.fnmatchβ dan βFile.fnmatch?β. jalur file dapat digunakan untuk memicu pemeriksaan secara salah;
- β penolakan layanan dalam modul otentikasi Diges untuk WEBrick.
Sumber: opennet.ru