Leiðréttingarútgáfur á Ruby forritunarmálinu 3.0.1, 2.7.3, 2.6.7 og 2.5.9 hafa verið búnar til, þar sem tveimur veikleikum er eytt:
- CVE-2021-28965 er varnarleysi í innbyggðu REXML-einingunni, sem, við þáttun og raðgreiningu á sérsniðnu XML-skjali, getur leitt til þess að búið sé til rangt XML-skjal þar sem uppbyggingin passar ekki við upprunalega. Alvarleiki veikleikans fer mjög eftir samhenginu, en ekki er hægt að útiloka árásir á sum forrit sem nota REXML.
- CVE-2021-28966 er Windows vettvangssértæk varnarleysi sem gerir kleift að búa til handahófskennda skrá eða skrá í hlutum skráarkerfisins sem notandinn getur skrifað sem Ruby ferlið er í gangi með. Vandamálið stafar af rangri vinnslu á forskeytinu í Dir.mktmpdir aðferðinni, sem útilokar ekki að smíðar eins og "..\\" sé skipt út. Til að ráðast á þarf ferlið að nota ytri gögn þegar forskeytsgildið er búið til.
Heimild: opennet.ru