Ruby プログラミング言語の修正リリースが生成されました , и 、2019つの脆弱性が修正されました。標準ライブラリの最も危険な脆弱性 (CVE-16255-XNUMX) (lib/shell.rb)、 コード置換を実行します。ファイルの存在を確認するための Shell#[] メソッドや Shell#test メソッドの第 1 引数でユーザーから受け取ったデータが処理されると、攻撃者によって任意の Ruby メソッドが呼び出される可能性があります。
その他の問題:
- - 組み込みの http サーバーへの公開 HTTP 応答分割攻撃 (プログラムが未検証のデータを HTTP 応答ヘッダーに挿入した場合、ヘッダーは改行文字を挿入することで分割される可能性があります)。
- 「File.fnmatch」および「File.fnmatch?」メソッドでチェックされた文字列に null 文字 (\0) を置き換えます。ファイル パスを使用すると、チェックを誤ってトリガーすることができます。
- — WEBrick の Diges 認証モジュールでのサービス拒否。
出所: オープンネット.ru