Ruby 2.6.5, 2.5.7 र 2.4.8 लाई कमजोरी फिक्स गरी अपडेट गर्नुहोस्

रुबी प्रोग्रामिङ भाषा को सुधारात्मक रिलीज उत्पन्न गरिएको छ 2.6.5, 2.5.7 и 2.4.8, जसले चार कमजोरीहरू फिक्स गर्यो। मानक पुस्तकालयमा सबैभन्दा खतरनाक जोखिम (CVE-2019-16255) खोल (lib/shell.rb), जुन यसलाई अनुमति दिन्छ कोड प्रतिस्थापन प्रदर्शन। यदि प्रयोगकर्ताबाट प्राप्त डाटा फाइलको उपस्थिति जाँच गर्न प्रयोग गरिने Shell#[] वा Shell#test विधिहरूको पहिलो तर्कमा प्रशोधन गरिएको छ भने, आक्रमणकर्ताले स्वेच्छाचारी रुबी विधिलाई कल गर्नका लागि प्रयोग गर्न सक्छ।

अन्य समस्याहरु:

• CVE-2019-16254 - बिल्ट-इन http सर्भरमा एक्सपोजर WEBrick HTTP प्रतिक्रिया विभाजन आक्रमण (यदि एक कार्यक्रम HTTP प्रतिक्रिया हेडर मा अप्रमाणित डाटा सम्मिलित गर्दछ, तब हेडर एक नयाँ लाइन क्यारेक्टर सम्मिलित गरेर विभाजित गर्न सकिन्छ);
• CVE-2019-15845 "File.fnmatch" र "File.fnmatch?" विधिहरू मार्फत जाँच गरिएकाहरूमा शून्य वर्ण (\0) को प्रतिस्थापन। फाइल पथहरू गलत रूपमा चेक ट्रिगर गर्न प्रयोग गर्न सकिन्छ;
• CVE-2019-16201 — WEBrick को लागि Diges प्रमाणीकरण मोड्युल मा सेवा को अस्वीकार।

स्रोत: opennet.ru