🥇Ажурирање на Ruby 2.6.5, 2.5.7 и 2.4.8 со поправени пропусти

Генерирани се корективни изданија на програмскиот јазик Руби 2.6.5, 2.5.7 и 2.4.8, кој поправи четири пропусти. Најопасната ранливост (CVE-2019-16255) во стандардната библиотека Школка (lib/shell.rb), кој таа им овозможува на изврши замена на кодот. Ако податоците добиени од корисникот се обработуваат во првиот аргумент на методите за тестирање Shell#[] или Shell# што се користат за проверка на присуството на датотека, напаѓачот може да предизвика да се повика произволен Ruby метод.

Други проблеми:

CVE-2019-16254 - изложеност на вградениот http сервер WEBrick Напад за поделба на одговорот на HTTP (ако некоја програма вметнува непроверени податоци во заглавието на одговорот на HTTP, тогаш заглавието може да се подели со вметнување знак за нова линија);
CVE-2019-15845 замена на нула знакот (\0) во оние проверени преку методите „File.fnmatch“ и „File.fnmatch?“. патеките на датотеките може да се користат за лажно активирање на проверката;
CVE-2019-16201 — одбивање на услуга во модулот за автентикација на Diges за WEBrick.

Извор: opennet.ru

Ажурирајте ги Ruby 2.6.5, 2.5.7 и 2.4.8 со поправени пропусти

Додадете коментар Откажи одговор