ProHoster > Blog > berita internet > Kemas kini Ruby 2.6.5, 2.5.7 dan 2.4.8 dengan kelemahan tetap

Kemas kini Ruby 2.6.5, 2.5.7 dan 2.4.8 dengan kelemahan tetap

Π‘Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π΅Π»ΠΈΠ·Ρ‹ языка программирования Ruby 2.6.5, 2.5.7 ΠΈ 2.4.8, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСны Ρ‡Π΅Ρ‚Ρ‹Ρ€Π΅ уязвимости. НаиболСС опасная ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2019-16255) Π² стандартной Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ Shell (lib/shell.rb), которая membolehkan ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²ΠΈΡ‚ΡŒ подстановку ΠΊΠΎΠ΄Π°. Π’ случаС ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… ΠΎΡ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π΄Π°Π½Π½Ρ‹Ρ… Π² ΠΏΠ΅Ρ€Π²ΠΎΠΌ Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² Shell#[] ΠΈΠ»ΠΈ Shell#test, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ наличия Ρ„Π°ΠΉΠ»Π°, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ Π²Ρ‹Π·ΠΎΠ²Π° ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ Ruby-ΠΌΠ΅Ρ‚ΠΎΠ΄Π°.

Masalah lain:

  • CVE-2019 16254- β€” ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½ΠΎΡΡ‚ΡŒ встроСнного http-сСрвСра WEBrick Π°Ρ‚Π°ΠΊΠ΅ ΠΏΠΎ Ρ€Π°Π·Π΄Π΅Π»Π΅Π½ΠΈΡŽ ΠΎΡ‚Π²Π΅Ρ‚ΠΎΠ² HTTP (Ссли ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° подставляСт Π½Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ Π² HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ ΠΎΡ‚Π²Π΅Ρ‚Π°, Ρ‚ΠΎ Ρ‡Π΅Ρ€Π΅Π· вставку символа ΠΏΠ΅Ρ€Π΅Π²ΠΎΠ΄Π° строки ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ);
  • CVE-2019 15845- подстановка Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ символа (\0) Π² провСряСмыС Ρ‡Π΅Ρ€Π΅Π· ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ Β«File.fnmatchΒ» ΠΈ Β«File.fnmatch?Β» Ρ„Π°ΠΉΠ»ΠΎΠ²Ρ‹Π΅ ΠΏΡƒΡ‚ΠΈ, ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для Π»ΠΎΠΆΠ½ΠΎΠ³ΠΎ срабатывания ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ;
  • CVE-2019 16201- β€” ΠΎΡ‚ΠΊΠ°Π· Π² обслуТивании Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ Diges-Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ для WEBrick.

Sumber: opennet.ru

Tambah komen