Ruby ပရိုဂရမ်းမင်းဘာသာစကား 3.0.1၊ 2.7.3၊ 2.6.7 နှင့် 2.5.9 တို့ကို ပြုပြင်ထုတ်လုပ်ပြီးဖြစ်ပြီး အားနည်းချက်နှစ်ခုကို ဖယ်ရှားလိုက်သည်-
- CVE-2021-28965 သည် အထူးဖော်မတ်လုပ်ထားသည့် XML စာရွက်စာတမ်းကို ခွဲခြမ်းစိတ်ဖြာပြီး အတွဲလိုက်လုပ်သည့်အခါ မူလပုံစံနှင့် မကိုက်ညီသော မမှန်ကန်သော XML စာရွက်စာတမ်းကို ဖန်တီးမှုဆီသို့ ဦးတည်သွားစေနိုင်သည့် တပ်ဆင်ထားသော REXML မော်ဂျူးတွင် အားနည်းချက်တစ်ခုဖြစ်သည်။ အားနည်းချက်၏ပြင်းထန်မှုသည် ဆက်စပ်အကြောင်းအရာအပေါ်တွင် များစွာမူတည်သော်လည်း REXML ကိုအသုံးပြုသည့် အချို့သောအက်ပ်လီကေးရှင်းများအပေါ် တိုက်ခိုက်မှုများကို ဖယ်ရှား၍မရပါ။
- CVE-2021-28966 သည် Ruby လုပ်ငန်းစဉ်ကို လုပ်ဆောင်နေသည့် အသုံးပြုသူမှ ရေးသားနိုင်သော အခွင့်အရေးရှိသည့် ဖိုင်စနစ်၏ အစိတ်အပိုင်းများတွင် မတရားသော လမ်းညွှန် သို့မဟုတ် ဖိုင်တစ်ခု ဖန်တီးနိုင်စေသည့် Windows ပလပ်ဖောင်းဆိုင်ရာ သီးသန့်အားနည်းချက်တစ်ခုဖြစ်သည်။ ပြဿနာသည် “..\\” ကဲ့သို့ တည်ဆောက်မှုများကို အစားထိုးခြင်းမှ မပါဝင်သည့် Dir.mktmpdir နည်းလမ်းတွင် ရှေ့ဆက်၏ မှားယွင်းစွာ လုပ်ဆောင်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ တိုက်ခိုက်ရန်အတွက်၊ လုပ်ငန်းစဉ်သည် ရှေ့ဆက်တန်ဖိုးကို ဖန်တီးသည့်အခါ ပြင်ပဒေတာကို အသုံးပြုရမည်ဖြစ်သည်။
source: opennet.ru