Rilis korektif saka basa pamrograman Ruby wis digawe , ΠΈ , sing ndandani papat kerentanan. Kerentanan paling mbebayani (CVE-2019-16255) ing perpustakaan standar (lib/shell.rb), kang nindakake substitusi kode. Yen data sing ditampa saka pangguna diproses ing argumentasi pisanan saka Shell#[] utawa Shell#metode tes sing digunakake kanggo mriksa anane file, panyerang bisa nyebabake metode Ruby sing sewenang-wenang diarani.
Masalah liyane:
- - cahya kanggo server http dibangun ing Serangan pamisah respon HTTP (yen program nglebokake data sing durung diverifikasi menyang header respon HTTP, banjur header bisa dipΓ©rang kanthi nglebokake karakter baris anyar);
- substitusi saka karakter null (\0) menyang sing dicenthang liwat "File.fnmatch" lan "File.fnmatch?"Metode. path file bisa digunakake kanggo salah micu mriksa;
- - nolak layanan ing modul otentikasi Diges kanggo WEBrick.
Source: opennet.ru