Ġew iġġenerati rilaxxi korrettivi tal-lingwa ta' programmar Ruby 3.0.1, 2.7.3, 2.6.7 u 2.5.9, li fihom ġew eliminati żewġ vulnerabbiltajiet:
- CVE-2021-28965 hija vulnerabbiltà fil-modulu REXML inkorporat, li, meta jiġi analizzat u serializing dokument XML ifformattjat apposta, jista 'jwassal għall-ħolqien ta' dokument XML żbaljat li l-istruttura tiegħu ma taqbilx mal-oriġinal. Is-severità tal-vulnerabbiltà tiddependi ħafna fuq il-kuntest, iżda attakki kontra xi applikazzjonijiet li jużaw REXML ma jistgħux jiġu esklużi.
- CVE-2021-28966 hija vulnerabbiltà speċifika għall-pjattaforma tal-Windows li tippermetti l-ħolqien ta’ direttorju jew fajl arbitrarju f’partijiet tas-sistema tal-fajls li jistgħu jinkitbu mill-utent li d-drittijiet tiegħu jkun qed jaħdem il-proċess Ruby. Il-problema hija kkawżata minn proċessar ħażin tal-prefiss fil-metodu Dir.mktmpdir, li ma jeskludix is-sostituzzjoni ta 'kostruzzjonijiet bħal "..\\". Biex jattakka, il-proċess irid juża data esterna meta jiġġenera l-valur tal-prefiss.
Sors: opennet.ru