Rilis korektif bahasa pemrograman Ruby 3.0.1, 2.7.3, 2.6.7 dan 2.5.9 telah dibuat, di mana dua kerentanan telah dihilangkan:
- CVE-2021-28965 adalah kerentanan dalam modul REXML bawaan, yang, ketika menguraikan dan membuat serial dokumen XML yang diformat khusus, dapat menyebabkan pembuatan dokumen XML yang salah yang strukturnya tidak sesuai dengan aslinya. Tingkat keparahan kerentanan sangat bergantung pada konteksnya, namun serangan terhadap beberapa aplikasi yang menggunakan REXML tidak dapat dikesampingkan.
- CVE-2021-28966 adalah kerentanan khusus platform Windows yang memungkinkan pembuatan direktori atau file arbitrer di bagian sistem file yang dapat ditulis oleh pengguna yang memiliki hak untuk menjalankan proses Ruby. Masalah ini disebabkan oleh pemrosesan awalan yang salah dalam metode Dir.mktmpdir, yang tidak mengecualikan substitusi konstruksi seperti β..\\β. Untuk menyerang, proses harus menggunakan data eksternal saat menghasilkan nilai awalan.
Sumber: opennet.ru