Rilis korektif saka basa pamrograman Ruby 3.0.1, 2.7.3, 2.6.7 lan 2.5.9 wis digawe, ing ngendi rong kerentanan diilangi:
- CVE-2021-28965 minangka kerentanan ing modul REXML sing dibangun, sing, nalika parsing lan serialisasi dokumen XML sing diformat khusus, bisa nyebabake nggawe dokumen XML sing ora bener sing strukture ora cocog karo asline. Keruwetan kerentanan gumantung banget marang konteks, nanging serangan marang sawetara aplikasi sing nggunakake REXML ora bisa dikalahake.
- CVE-2021-28966 minangka kerentanan khusus platform Windows sing ngidini nggawe direktori utawa file sewenang-wenang ing bagean sistem file sing bisa ditulis dening pangguna sing nduweni hak proses Ruby. Masalah kasebut disebabake dening pangolahan awalan sing salah ing metode Dir.mktmpdir, sing ora ngilangi substitusi konstruksi kaya "..\\". Kanggo nyerang, proses kasebut kudu nggunakake data eksternal nalika ngasilake nilai awalan.
Source: opennet.ru