Ruby программалоо тилинин түзөтүүчү релиздери түзүлдү , и , бул төрт кемчиликти оңдогон. Стандарттык китепканадагы эң коркунучтуу аялуу (CVE-2019-16255). (lib/shell.rb), кайсы кодду алмаштырууну жүзөгө ашырат. Колдонуучудан алынган маалыматтар файлдын бар-жоктугун текшерүү үчүн колдонулган Shell#[] же Shell#test ыкмаларынын биринчи аргументинде иштетилсе, чабуулчу ыктыярдуу Ruby ыкмасын чакыра алат.
Башка көйгөйлөр:
- - орнотулган http серверинин таасири HTTP жоопту бөлүү чабуулу (эгерде программа HTTP жооптун аталышына текшерилбеген маалыматтарды киргизсе, анда башты жаңы сап белгисин киргизүү менен бөлүүгө болот);
- нөл белгисин (\0) "File.fnmatch" жана "File.fnmatch?" ыкмалары аркылуу текшерилгендерге алмаштыруу. файл жолдору текшерүүнү туура эмес баштоо үчүн колдонулушу мүмкүн;
- — WEBrick үчүн Diges аутентификация модулунда кызмат көрсөтүүдөн баш тартуу.
Source: opennet.ru