Ruby програмчлалын хэлний 3.0.1, 2.7.3, 2.6.7, 2.5.9-ийн залруулах хувилбаруудыг үүсгэсэн бөгөөд үүнд хоёр эмзэг байдлыг арилгасан:
- CVE-2021-28965 нь суурилуулсан REXML модулийн эмзэг байдал бөгөөд тусгай форматтай XML баримтыг задлан шинжилж, цуваа болгох үед бүтэц нь эхтэй таарахгүй буруу XML баримт үүсгэхэд хүргэдэг. Эмзэг байдлын ноцтой байдал нь контекстээс ихээхэн хамаардаг боловч REXML ашигладаг зарим програмын эсрэг халдлагыг үгүйсгэх аргагүй юм.
- CVE-2021-28966 нь Windows-ын платформд хамаарах эмзэг байдал бөгөөд Ruby процессыг эрхтэйгээр ажиллуулж байгаа хэрэглэгчийн бичиж болох файлын системийн хэсгүүдэд дурын сан эсвэл файл үүсгэх боломжийг олгодог. Асуудал нь Dir.mktmpdir арга дахь угтварыг буруу боловсруулснаас үүдэлтэй бөгөөд энэ нь "..\\" гэх мэт бүтцийг орлуулахыг үгүйсгэхгүй. Довтолгоо хийхийн тулд угтвар утгыг үүсгэх үед процесс нь гадаад өгөгдлийг ашиглах ёстой.
Эх сурвалж: opennet.ru