Er zijn corrigerende releases van de programmeertaal Ruby gegenereerd , и , waarmee vier kwetsbaarheden zijn opgelost. De gevaarlijkste kwetsbaarheid (CVE-2019-16255) in de standaardbibliotheek (lib/shell.rb), welke codevervanging uitvoeren. Als van de gebruiker ontvangen gegevens worden verwerkt in het eerste argument van de Shell#[]- of Shell#test-methoden die worden gebruikt om de aanwezigheid van een bestand te controleren, kan een aanvaller ervoor zorgen dat een willekeurige Ruby-methode wordt aangeroepen.
Andere problemen:
- - blootstelling aan de ingebouwde http-server HTTP-reactiesplitsingsaanval (als een programma niet-geverifieerde gegevens in de HTTP-antwoordheader invoegt, kan de header worden gesplitst door een newline-teken in te voegen);
- vervanging van het nulteken (\0) in de tekens die zijn gecontroleerd via de methoden “File.fnmatch” en “File.fnmatch?”. bestandspaden kunnen worden gebruikt om de controle ten onrechte te activeren;
- — denial of service in de Diges-authenticatiemodule voor WEBrick.
Bron: opennet.ru