עדכן את רובי 2.6.5, 2.5.7 ו-2.4.8 עם פגיעויות מתוקנות

מהדורות מתקנות של שפת התכנות Ruby נוצרו 2.6.5, 2.5.7 и 2.4.8, שתיקן ארבע נקודות תורפה. הפגיעות המסוכנת ביותר (CVE-2019-16255) בספרייה הסטנדרטית פָּגָז (lib/shell.rb), אשר היא מאפשרת לבצע החלפת קוד. אם הנתונים המתקבלים מהמשתמש מעובדים בארגומנט הראשון של שיטות Shell#[] או Shell#test המשמשות לבדיקת נוכחות של קובץ, תוקף יכול לגרום לשיטת Ruby שרירותית להיקרא.

בעיות אחרות:

• CVE-2019-16254 - חשיפה לשרת ה-http המובנה WEBrick התקפת פיצול תגובת HTTP (אם תוכנית מכניסה נתונים לא מאומתים לכותרת תגובת HTTP, אזי ניתן לפצל את הכותרת על ידי הכנסת תו חדש);
• CVE-2019-15845 החלפה של תו האפס (\0) לאלו שנבדקו באמצעות שיטות "File.fnmatch" ו-"File.fnmatch?". ניתן להשתמש בנתיבי קובץ כדי להפעיל את הבדיקה באופן שגוי;
• CVE-2019-16201 - מניעת שירות במודול האימות של Diges עבור WEBrick.

מקור: OpenNet.ru