Novae solutiones correctivae linguae programmandi Ruby 3.0.1, 2.7.3, 2.6.7 et 2.5.9 generatae sunt, in quibus duo vulnerabilitates eliminantur:
- CVE-2021-28965 vulnerabilitas in fabricato REXML moduli est, quae, cum parsing et serialising documentum XML specialiter formatum, ducere potest ad creationem documenti incorreti XML cuius structura originali non congruit. Severitas vulnerabilitas graviter in contextu pendet, sed impetus contra aliquas applicationes, quae REXML usui sunt, excludi non possunt.
- CVE-2021-28966 vulnerabilitas suggesti-specialis est quae creari permittit directorium arbitrarium seu fasciculum in partibus tabellae, quae writable ab utente, cuius iuribus processus Ruby currit. Problema causatur ex falsa processu praepositionis in methodo Dir.mktmpdir, quae substitutionem constructionum non excludit, sicut "..\\". Ad oppugnandum, processus notitia externa uti debet cum praepositionis valorem generans.
Source: opennet.ru