Ruby プログラミング言語 3.0.1、2.7.3、2.6.7、および 2.5.9 の修正リリースが生成され、次の XNUMX つの脆弱性が解消されました。
- CVE-2021-28965 は、組み込み REXML モジュールの脆弱性であり、特別にフォーマットされた XML ドキュメントを解析してシリアル化するときに、構造が元の XML ドキュメントと一致しない不正な XML ドキュメントが作成される可能性があります。脆弱性の重大度は状況に大きく依存しますが、REXML を使用する一部のアプリケーションに対する攻撃を排除することはできません。
- CVE-2021-28966 は、Ruby プロセスを実行している権限を持つユーザーが書き込み可能なファイル システムの一部に任意のディレクトリまたはファイルを作成できる Windows プラットフォーム固有の脆弱性です。この問題は、Dir.mktmpdir メソッドのプレフィックスが正しく処理されないことが原因で発生します。これは、「..\\」のような構造の置換を除外するものではありません。攻撃するには、プロセスがプレフィックス値を生成するときに外部データを使用する必要があります。
出所: オープンネット.ru