취약점이 수정된 Ruby 2.6.5, 2.5.7, 2.4.8 업데이트

Ruby 프로그래밍 언어의 수정 릴리스가 생성되었습니다. 2.6.5, 2.5.7 и 2.4.8, 이는 네 가지 취약점을 수정했습니다. 표준 라이브러리의 가장 위험한 취약점(CVE-2019-16255) 껍질 (lib/shell.rb), 이는 그것은 수 있습니다 코드 대체를 수행합니다. 사용자로부터 받은 데이터가 파일 존재 여부를 확인하는 데 사용되는 Shell#[] 또는 Shell#test 메서드의 첫 번째 인수에서 처리되면 공격자가 임의의 Ruby 메서드를 호출하도록 할 수 있습니다.

기타 문제:

• CVE-2019-16254 - 내장된 http 서버에 노출 웹릭 HTTP 응답 분할 공격(프로그램이 HTTP 응답 헤더에 확인되지 않은 데이터를 삽입하는 경우 개행 문자를 삽입하여 헤더를 분할할 수 있음)
• CVE-2019-15845 "File.fnmatch" 및 "File.fnmatch?" 메서드를 통해 확인한 문자로 null 문자(\0)를 대체합니다. 파일 경로를 사용하여 검사를 잘못 실행할 수 있습니다.
• CVE-2019-16201 — WEBrick용 Diges 인증 모듈의 서비스 거부.

출처 : opennet.ru