Korrigerende utgivelser av programmeringsspråket Ruby har blitt generert , и , som fikset fire sårbarheter. Den farligste sårbarheten (CVE-2019-16255) i standardbiblioteket (lib/shell.rb), som utføre kodeerstatning. Hvis data mottatt fra brukeren behandles i det første argumentet til Shell#[]- eller Shell#testmetodene som brukes for å sjekke tilstedeværelsen av en fil, kan en angriper føre til at en vilkårlig Ruby-metode kalles.
Andre problemer:
- - eksponering for den innebygde http-serveren HTTP-svarsdelingsangrep (hvis et program setter inn ubekreftede data i HTTP-svarhodet, kan overskriften deles ved å sette inn et linjeskifttegn);
- erstatning av null-tegnet (\0) i de som er sjekket gjennom metodene "File.fnmatch" og "File.fnmatch?". filstier kan brukes til å feilaktig utløse sjekken;
- — tjenestenekt i Diges-autentiseringsmodulen for WEBrick.
Kilde: opennet.ru