Ir ģenerēti programmēšanas valodas Ruby koriģējošie izlaidumi , и , kurā tika novērstas četras ievainojamības. Visbīstamākā ievainojamība (CVE-2019-16255) standarta bibliotēkā (lib/shell.rb), kas veikt koda aizstāšanu. Ja no lietotāja saņemtie dati tiek apstrādāti ar Shell#[] vai Shell# testa metožu pirmo argumentu, ko izmanto, lai pārbaudītu faila klātbūtni, uzbrucējs var panākt patvaļīgas Ruby metodes izsaukumu.
Citas problēmas:
- - iebūvētā http servera iedarbība HTTP atbildes sadalīšanas uzbrukums (ja programma HTTP atbildes galvenē ievieto nepārbaudītus datus, tad galveni var sadalīt, ievietojot jaunas rindiņas rakstzīmi);
- nulles rakstzīmes (\0) aizstāšana ar tām, kas pārbaudītas, izmantojot metodes “File.fnmatch” un “File.fnmatch?”. failu ceļus var izmantot, lai nepatiesi aktivizētu pārbaudi;
- — pakalpojuma atteikums WEBrick Diges autentifikācijas modulī.
Avots: opennet.ru