Wygenerowano wersje korygujące języka programowania Ruby , и , który naprawił cztery luki. Najbardziej niebezpieczna luka (CVE-2019-16255) w bibliotece standardowej (lib/shell.rb), który wykonać podstawienie kodu. Jeśli dane otrzymane od użytkownika zostaną przetworzone w pierwszym argumencie metod testowych Shell#[] lub Shell# używanych do sprawdzania obecności pliku, osoba atakująca może spowodować wywołanie dowolnej metody Ruby.
Inne problemy:
- - ekspozycja na wbudowany serwer http Atak polegający na dzieleniu odpowiedzi HTTP (jeśli program wstawi niezweryfikowane dane do nagłówka odpowiedzi HTTP, wówczas nagłówek można podzielić, wstawiając znak nowej linii);
- podstawienie znaku null (\0) do znaków sprawdzanych metodami „File.fnmatch” i „File.fnmatch?”. ścieżki plików mogą zostać użyte do fałszywego uruchomienia sprawdzenia;
- — odmowa usługi w module uwierzytelniania Diges dla WEBrick.
Źródło: opennet.ru