Ġew iġġenerati rilaxxi korrettivi tal-lingwa ta' programmar Ruby , и , li ffissa erba 'vulnerabbiltajiet. L-aktar vulnerabbiltà perikoluża (CVE-2019-16255) fil-librerija standard (lib/shell.rb), li twettaq sostituzzjoni tal-kodiċi. Jekk id-dejta riċevuta mill-utent tiġi pproċessata fl-ewwel argument tal-metodi tat-test Shell#[] jew Shell# użati biex jiċċekkjaw il-preżenza ta 'fajl, attakkant jista' jikseb is-sejħa ta 'metodu Ruby arbitrarju.
Problemi oħra:
- - espożizzjoni għas-server http integrat Attakk tal-qsim tar-rispons HTTP (jekk programm idaħħal dejta mhux verifikata fl-header tar-rispons HTTP, allura l-header jista 'jinqasam billi jiddaħħal karattru newline);
- sostituzzjoni tal-karattru null (\0) f'dawk iċċekkjati permezz tal-metodi "File.fnmatch" u "File.fnmatch?". mogħdijiet tal-fajls jistgħu jintużaw biex jiskattaw il-kontroll b'mod falz;
- — ċaħda ta' servizz fil-modulu ta' awtentikazzjoni Diges għal WEBrick.
Sors: opennet.ru