Sono stati rilasciati aggiornamenti correttivi per il linguaggio di programmazione Ruby , e , in cui sono state risolte quattro vulnerabilità. La vulnerabilità più pericolosa (CVE-2019-16255) è presente nella libreria standard (lib/shell.rb), che permette l'inserimento di codice. Nel caso di gestione dei dati forniti dall'utente come primo argomento nei metodi Shell#[] o Shell#test, utilizzati per controllare l'esistenza di un file, un attaccante può ottenere la chiamata di un metodo Ruby arbitrario.
Altri problemi:
- — vulnerabilità del server http integrato a un attacco di smistamento delle risposte HTTP (se il programma inserisce dati non verificati nell'intestazione della risposta HTTP, è possibile dividere l'intestazione mediante l'inserimento di un carattere di nuova linea);
- l'inserimento di un carattere nullo (\0) nei percorsi dei file controllati tramite i metodi "File.fnmatch" e "File.fnmatch?" può essere utilizzato per far scattare falsamente il controllo;
- — denial of service nel modulo di autenticazione Diges per WEBrick.
Fonte: opennet.ru
