განაახლეთ Ruby 2.6.5, 2.5.7 და 2.4.8 მოწყვლადობით დაფიქსირებული

შეიქმნა Ruby პროგრამირების ენის მაკორექტირებელი გამოშვებები 2.6.5, 2.5.7 и 2.4.8, რომელმაც დააფიქსირა ოთხი დაუცველობა. ყველაზე საშიში დაუცველობა (CVE-2019-16255) სტანდარტულ ბიბლიოთეკაში შელი (lib/shell.rb), რომელიც საშუალებას აძლევს შეასრულეთ კოდის ჩანაცვლება. თუ მომხმარებლისგან მიღებული მონაცემები დამუშავდება Shell#[] ან Shell# ტესტის მეთოდების პირველ არგუმენტში, რომელიც გამოიყენება ფაილის არსებობის შესამოწმებლად, თავდამსხმელმა შეიძლება გამოიწვიოს თვითნებური Ruby მეთოდის გამოძახება.

სხვა პრობლემები:

• CVE-2019-16254 - ჩაშენებული http სერვერის ექსპოზიცია WEBrick HTTP პასუხის გაყოფის შეტევა (თუ პროგრამა HTTP პასუხის სათაურში ჩასვამს გადაუმოწმებელ მონაცემებს, მაშინ სათაური შეიძლება გაიყოს ახალი ხაზის სიმბოლოს ჩასმით);
• CVE-2019-15845 ნულოვანი სიმბოლოს (\0) ჩანაცვლება „File.fnmatch“ და „File.fnmatch?“ მეთოდებით შემოწმებული სიმბოლოებით. ფაილის ბილიკები შეიძლება გამოყენებულ იქნას შემოწმების ტყუილად გასააქტიურებლად;
• CVE-2019-16201 — სერვისზე უარის თქმა Diges ავტორიზაციის მოდულში WEBrick-ისთვის.

წყარო: opennet.ru