Korrigéiert Verëffentlechunge vun der Ruby Programmiersprache goufen generéiert , и , déi véier Schwachstelle fixéiert hunn. Déi geféierlechst Schwachstelle (CVE-2019-16255) an der Standardbibliothéik (lib/shell.rb), déi Leeschtunge Code Awiesselung. Wann Daten, déi vum Benotzer kritt ginn, am éischten Argument vun der Shell#[] oder Shell#Testmethoden veraarbecht ginn, déi benotzt gi fir d'Präsenz vun enger Datei ze kontrolléieren, kann en Ugräifer eng arbiträr Ruby-Methode verursaachen.
Aner Problemer:
- - Belaaschtung fir den agebaute http Server HTTP Äntwert Spaltattack (wann e Programm onverifizéiert Donnéeën an den HTTP Äntwert Header setzt, da kann den Header gespléckt ginn andeems en en Newline Charakter asetzt);
- Ersatz vum Null Charakter (\0) an déi iwwerpréift duerch d'Methoden "File.fnmatch" an "File.fnmatch?". Dateiweeër kënne benotzt ginn fir de Scheck falsch auszeléisen;
- - Verweigerung vum Service am Diges Authentifikatiounsmodul fir WEBrick.
Source: opennet.ru