Korrektiv Verëffentlechunge vun der Ruby Programmiersprache 3.0.1, 2.7.3, 2.6.7 an 2.5.9 goufen generéiert, an deenen zwee Schwachstelle eliminéiert ginn:
- CVE-2021-28965 ass eng Schwachstelle am agebaute REXML Modul, deen, wann Dir e speziell formatéiert XML Dokument parséiert a serialiséiert, kann zu der Schafung vun engem falschen XML Dokument féieren, deem seng Struktur net mat dem Original entsprécht. D'Gravitéit vun der Schwachstelle hänkt staark vum Kontext of, awer Attacke géint e puer Applikatiounen, déi REXML benotzen, kënnen net ausgeschloss ginn.
- CVE-2021-28966 ass eng Windows Plattform-spezifesch Schwachstelle, déi d'Schafe vun engem arbiträren Verzeechnes oder Datei an Deeler vum Dateiesystem erlaabt, déi vum Benotzer schrëftlech sinn, mat deem seng Rechter de Ruby-Prozess leeft. De Problem gëtt duerch eng falsch Veraarbechtung vum Präfix an der Dir.mktmpdir Method verursaacht, déi d'Auswiesselung vu Konstruktiounen wéi "..\\" net ausschléisst. Fir unzegräifen, muss de Prozess extern Daten benotzen wann de Präfix Wäert Generéiere.
Source: opennet.ru