Sugeneruoti korekciniai Ruby programavimo kalbos 3.0.1, 2.7.3, 2.6.7 ir 2.5.9 leidimai, kuriuose pašalinami du pažeidžiamumai:
- CVE-2021-28965 yra integruoto REXML modulio pažeidžiamumas, dėl kurio, analizuojant ir nuosekliai suformavus specialiai suformatuotą XML dokumentą, gali būti sukurtas neteisingas XML dokumentas, kurio struktūra neatitinka originalo. Pažeidžiamumo sunkumas labai priklauso nuo konteksto, tačiau negalima atmesti atakų prieš kai kurias programas, kurios naudoja REXML.
- CVE-2021-28966 yra su Windows platforma susijęs pažeidžiamumas, leidžiantis sukurti savavališką katalogą arba failą failų sistemos dalyse, kurias gali įrašyti vartotojas, kurio teisėmis veikia Ruby procesas. Problema kyla dėl neteisingo priešdėlio apdorojimo Dir.mktmpdir metodu, kuris neatmeta konstrukcijų, tokių kaip „..\\“, pakeitimo. Norėdami atakuoti, procesas turi naudoti išorinius duomenis generuodamas priešdėlio reikšmę.
Šaltinis: opennet.ru