Ruby бағдарламалау тілінің түзетуші шығарылымдары жасалды , и , ол төрт осалдықты түзетеді. Стандартты кітапханадағы ең қауіпті осалдық (CVE-2019-16255). (lib/shell.rb), ол кодты ауыстыруды орындаңыз. Пайдаланушыдан алынған деректер файлдың бар-жоғын тексеру үшін пайдаланылатын Shell#[] немесе Shell#test әдістерінің бірінші аргументінде өңделсе, шабуылдаушы ерікті Ruby әдісінің шақыруына қол жеткізе алады.
Басқа мәселелер:
- - кірістірілген http серверіне әсер ету HTTP жауаптарын бөлу шабуылы (егер бағдарлама HTTP жауап тақырыбына тексерілмеген деректерді енгізсе, тақырыпты жаңа жол таңбасын енгізу арқылы бөлуге болады);
- нөлдік таңбаны (\0) “File.fnmatch” және “File.fnmatch?” әдістері арқылы тексерілгендерге ауыстыру. тексеруді жалған іске қосу үшін файл жолдарын пайдалануға болады;
- — WEBrick үшін Diges аутентификация модулінде қызмет көрсетуден бас тарту.
Ақпарат көзі: opennet.ru