Korrigerende utgivelser av Ruby programmeringsspråk 3.0.1, 2.7.3, 2.6.7 og 2.5.9 har blitt generert, der to sårbarheter er eliminert:
- CVE-2021-28965 er en sårbarhet i den innebygde REXML-modulen, som ved parsing og serialisering av et spesielt formatert XML-dokument kan føre til at det lages et feil XML-dokument hvis struktur ikke samsvarer med originalen. Alvorlighetsgraden av sårbarheten avhenger sterkt av konteksten, men angrep mot enkelte applikasjoner som bruker REXML kan ikke utelukkes.
- CVE-2021-28966 er en Windows-plattformspesifikk sårbarhet som tillater opprettelse av en vilkårlig katalog eller fil i deler av filsystemet som kan skrives av brukeren hvis rettigheter Ruby-prosessen kjører med. Problemet er forårsaket av feil behandling av prefikset i Dir.mktmpdir-metoden, som ikke utelukker substitusjon av konstruksjoner som "..\\". For å angripe, må prosessen bruke eksterne data når prefiksverdien genereres.
Kilde: opennet.ru