Er zijn corrigerende releases van de programmeertaal Ruby 3.0.1, 2.7.3, 2.6.7 en 2.5.9 gemaakt, waarin twee kwetsbaarheden zijn verholpen:
- CVE-2021-28965 is een kwetsbaarheid in de ingebouwde REXML-module die, bij het parseren en serialiseren van een speciaal vervaardigd XML-document, kan leiden tot de creatie van een ongeldig XML-document waarvan de structuur niet overeenkomt met het origineel. De ernst van de kwetsbaarheid is sterk contextafhankelijk, maar het kan niet worden uitgesloten dat aanvallen kunnen worden uitgevoerd op sommige applicaties die REXML gebruiken.
- CVE-2021-28966 - Platformspecifiek Windows Een kwetsbaarheid die het mogelijk maakt om een willekeurige map of bestand aan te maken in bestandssysteemonderdelen die beschrijfbaar zijn door de gebruiker met wiens privileges het Ruby-proces draait. Het probleem wordt veroorzaakt door onjuiste prefixverwerking in de Dir.mktmpdir-methode, waardoor constructies zoals "..\\." kunnen worden vervangen. Om de aanval uit te voeren, moet het proces externe gegevens gebruiken bij het samenstellen van de prefixwaarde.
Bron: opennet.ru
