Aggiornamento di Ruby 2.6.5, 2.5.7 e 2.4.8 per risolvere vulnerabilità

Sono stati rilasciati aggiornamenti correttivi per il linguaggio di programmazione Ruby 2.6.5, 2.5.7 e 2.4.8, in cui sono state risolte quattro vulnerabilità. La vulnerabilità più pericolosa (CVE-2019-16255) è presente nella libreria standard Shell (lib/shell.rb), che permette permette l'inserimento di codice. Nel caso di gestione dei dati forniti dall'utente come primo argomento nei metodi Shell#[] o Shell#test, utilizzati per controllare l'esistenza di un file, un attaccante può ottenere la chiamata di un metodo Ruby arbitrario.

Altri problemi:

  • CVE-2019-16254 — vulnerabilità del server http integrato WEBrick a un attacco di smistamento delle risposte HTTP (se il programma inserisce dati non verificati nell'intestazione della risposta HTTP, è possibile dividere l'intestazione mediante l'inserimento di un carattere di nuova linea);
  • CVE-2019-15845 l'inserimento di un carattere nullo (\0) nei percorsi dei file controllati tramite i metodi "File.fnmatch" e "File.fnmatch?" può essere utilizzato per far scattare falsamente il controllo;
  • CVE-2019-16201 — denial of service nel modulo di autenticazione Diges per WEBrick.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster