Ruby бағдарламалау тілінің 3.0.1, 2.7.3, 2.6.7 және 2.5.9 түзеткіш шығарылымдары жасалды, оларда екі осалдық жойылады:
- CVE-2021-28965 - арнайы пішімделген XML құжатын талдау және сериялау кезінде құрылымы түпнұсқаға сәйкес келмейтін қате XML құжатын жасауға әкелетін кірістірілген REXML модуліндегі осалдық. Осалдықтың ауырлығы негізінен контекстке байланысты, бірақ REXML қолданатын кейбір қолданбаларға қарсы шабуылдарды жоққа шығаруға болмайды.
- CVE-2021-28966 Windows платформасына тән осалдық болып табылады, ол құқықтарымен Ruby процесі іске қосылған пайдаланушы жаза алатын файлдық жүйе бөліктерінде ерікті каталогты немесе файлды жасауға мүмкіндік береді. Мәселе «..\\» сияқты конструкцияларды ауыстыруды жоққа шығармайтын Dir.mktmpdir әдісіндегі префиксті дұрыс өңдеуден туындады. Шабуыл жасау үшін процесс префикс мәнін жасау кезінде сыртқы деректерді пайдалануы керек.
Ақпарат көзі: opennet.ru