Ir ģenerēti koriģējošie Ruby programmēšanas valodas 3.0.1, 2.7.3, 2.6.7 un 2.5.9 laidieni, kuros ir novērstas divas ievainojamības:
- CVE-2021-28965 ir iebūvētā REXML moduļa ievainojamība, kas, analizējot un serializējot īpaši formatētu XML dokumentu, var izraisīt nepareiza XML dokumenta izveidi, kura struktūra neatbilst oriģinālam. Ievainojamības nopietnība lielā mērā ir atkarīga no konteksta, taču nevar izslēgt uzbrukumus dažām lietojumprogrammām, kas izmanto REXML.
- CVE-2021-28966 ir Windows platformai raksturīga ievainojamība, kas ļauj izveidot patvaļīgu direktoriju vai failu tajās failu sistēmas daļās, kuras var rakstīt lietotājs, ar kura tiesībām darbojas Ruby process. Problēmu rada nepareiza prefiksa apstrāde ar Dir.mktmpdir metodi, kas neizslēdz tādu konstrukciju kā “..\\” aizstāšanu. Lai uzbruktu, procesam, ģenerējot prefiksa vērtību, ir jāizmanto ārējie dati.
Avots: opennet.ru