អាប់ដេត Ruby 2.6.5, 2.5.7 និង 2.4.8 ជាមួយនឹងភាពងាយរងគ្រោះត្រូវបានជួសជុល

ការកែសំរួលភាសាសរសេរកម្មវិធី Ruby ត្រូវបានបង្កើត 2.6.5, 2.5.7 и 2.4.8ដែលបានជួសជុលភាពងាយរងគ្រោះចំនួនបួន។ ភាពងាយរងគ្រោះគ្រោះថ្នាក់បំផុត (CVE-2019-16255) នៅក្នុងបណ្ណាល័យស្តង់ដារ សែល (lib/shell.rb) ដែល វាអនុញ្ញាតឱ្យ អនុវត្តការជំនួសលេខកូដ។ ប្រសិនបើទិន្នន័យដែលទទួលបានពីអ្នកប្រើប្រាស់ត្រូវបានដំណើរការនៅក្នុងអាគុយម៉ង់ដំបូងនៃវិធីសាស្ត្រ Shell#[] ឬ Shell#test ដែលប្រើដើម្បីពិនិត្យមើលវត្តមានរបស់ឯកសារនោះ អ្នកវាយប្រហារអាចបណ្តាលឱ្យហៅវិធីសាស្ត្រ Ruby តាមអំពើចិត្ត។

បញ្ហាផ្សេងទៀត៖

• CVE-2019-16254 - ការប៉ះពាល់ទៅនឹងម៉ាស៊ីនមេ http ដែលភ្ជាប់មកជាមួយ WEBrick ការវាយប្រហារបំបែកការឆ្លើយតប HTTP (ប្រសិនបើកម្មវិធីបញ្ចូលទិន្នន័យដែលមិនបានផ្ទៀងផ្ទាត់ទៅក្នុងបឋមកថាការឆ្លើយតប HTTP នោះបឋមកថាអាចត្រូវបានបំបែកដោយបញ្ចូលតួអក្សរបន្ទាត់ថ្មី);
• CVE-2019-15845 ការជំនួសតួអក្សរ null (\ 0) ទៅក្នុងអ្វីដែលបានពិនិត្យតាមរយៈ "File.fnmatch" និង "File.fnmatch?" ផ្លូវឯកសារអាចត្រូវបានប្រើដើម្បីក្លែងបន្លំការត្រួតពិនិត្យ;
• CVE-2019-16201 - ការបដិសេធសេវាកម្មនៅក្នុងម៉ូឌុលការផ្ទៀងផ្ទាត់ Diges សម្រាប់ WEBrick ។

ប្រភព: opennet.ru