🥇עדכון Ruby 3.0.1 עם פגיעויות מתוקנות

נוצרו מהדורות מתקנות של שפת התכנות Ruby 3.0.1, 2.7.3, 2.6.7 ו-2.5.9, שבהן בוטלו שתי נקודות תורפה:

CVE-2021-28965 היא נקודת תורפה במודול REXML המובנה, אשר בעת ניתוח והסדרה של מסמך XML בפורמט מיוחד, עלולה להוביל ליצירת מסמך XML שגוי שהמבנה שלו אינו תואם למקור. חומרת הפגיעות תלויה במידה רבה בהקשר, אך לא ניתן לשלול התקפות נגד יישומים מסוימים המשתמשים ב- REXML.
CVE-2021-28966 היא פגיעות ספציפית לפלטפורמת Windows המאפשרת יצירה של ספרייה או קובץ שרירותיים בחלקים ממערכת הקבצים הניתנים לכתיבה על ידי המשתמש שבזכויותיו פועל תהליך Ruby. הבעיה נגרמת מעיבוד שגוי של הקידומת בשיטת Dir.mktmpdir, שאינה שוללת החלפה של קונסטרוקציות כמו "..\\". כדי לתקוף, התהליך חייב להשתמש בנתונים חיצוניים בעת יצירת ערך הקידומת.

עדכון Ruby 3.0.1 עם פגיעויות שתוקנו