Sono state generate versioni correttive del linguaggio di programmazione Ruby , и , che ha risolto quattro vulnerabilità. La vulnerabilità più pericolosa (CVE-2019-16255) nella libreria standard (lib/shell.rb), che eseguire la sostituzione del codice. Se i dati ricevuti dall'utente vengono elaborati nel primo argomento dei metodi Shell#[] o Shell#test utilizzati per verificare la presenza di un file, un utente malintenzionato può causare la chiamata di un metodo Ruby arbitrario.
Altri problemi:
- - Esposizione al server http integrato Attacco di suddivisione della risposta HTTP (se un programma inserisce dati non verificati nell'intestazione della risposta HTTP, l'intestazione può essere divisa inserendo un carattere di nuova riga);
- sostituzione del carattere nullo (\0) in quelli verificati tramite i metodi “File.fnmatch” e “File.fnmatch?”. i percorsi dei file possono essere utilizzati per attivare falsamente il controllo;
- — negazione del servizio nel modulo di autenticazione Diges per WEBrick.
Fonte: opennet.ru