Er zijn corrigerende releases van de programmeertaal Ruby 3.0.1, 2.7.3, 2.6.7 en 2.5.9 gegenereerd, waarin twee kwetsbaarheden zijn geëlimineerd:
- CVE-2021-28965 is een kwetsbaarheid in de ingebouwde REXML-module, die bij het parseren en serialiseren van een speciaal opgemaakt XML-document kan leiden tot het creëren van een onjuist XML-document waarvan de structuur niet overeenkomt met het origineel. De ernst van de kwetsbaarheid is sterk afhankelijk van de context, maar aanvallen op sommige applicaties die gebruik maken van REXML kunnen niet worden uitgesloten.
- CVE-2021-28966 is een Windows-platformspecifieke kwetsbaarheid die het aanmaken van een willekeurige map of bestand mogelijk maakt in delen van het bestandssysteem die beschrijfbaar zijn door de gebruiker met wiens rechten het Ruby-proces wordt uitgevoerd. Het probleem wordt veroorzaakt door een onjuiste verwerking van het voorvoegsel in de Dir.mktmpdir-methode, die de vervanging van constructies zoals “..\\” niet uitsluit. Om aan te vallen moet het proces externe gegevens gebruiken bij het genereren van de prefixwaarde.
Bron: opennet.ru