Ruby програмчлалын хэлний залруулах хувилбарууд гарлаа , и , энэ нь дөрвөн эмзэг байдлыг зассан. Стандарт номын сан дахь хамгийн аюултай эмзэг байдал (CVE-2019-16255). (lib/shell.rb), аль нь кодыг орлуулах. Хэрэв файл байгаа эсэхийг шалгахад ашигладаг Shell#[] эсвэл Shell#туршилтын аргуудын эхний аргумент дээр хэрэглэгчээс хүлээн авсан өгөгдлийг боловсруулж байгаа бол халдагч нь дурын Ruby аргын дуудлагад хүрч чадна.
Бусад асуудлууд:
- - суурилагдсан http серверт өртөх HTTP хариуг хуваах халдлага (хэрэв програм HTTP хариултын толгой хэсэгт баталгаажуулаагүй өгөгдлийг оруулбал шинэ мөрийн тэмдэгт оруулах замаар толгой хэсгийг хувааж болно);
- "File.fnmatch" болон "File.fnmatch?" аргуудаар шалгагдсан тэмдэгтүүд рүү хоосон тэмдэгтийг (\0) орлуулах. файлын замыг шалгахыг буруу өдөөхөд ашиглаж болно;
- — WEBrick-д зориулсан Diges нэвтрэлт таних модульд үйлчилгээ үзүүлэхээс татгалзах.
Эх сурвалж: opennet.ru