Zaktualizuj Ruby 2.6.5, 2.5.7 i 2.4.8 z naprawionymi lukami
Wygenerowano wersje korygujące języka programowania Ruby 2.6.5, 2.5.7 и 2.4.8, który naprawił cztery luki. Najbardziej niebezpieczna luka (CVE-2019-16255) w bibliotece standardowej Powłoka (lib/shell.rb), który pozwala on wykonać podstawienie kodu. Jeśli dane otrzymane od użytkownika zostaną przetworzone w pierwszym argumencie metod testowych Shell#[] lub Shell# używanych do sprawdzania obecności pliku, osoba atakująca może spowodować wywołanie dowolnej metody Ruby.
Inne problemy:
CVE-2019-16254 - ekspozycja na wbudowany serwer http WEcegła Atak polegający na dzieleniu odpowiedzi HTTP (jeśli program wstawi niezweryfikowane dane do nagłówka odpowiedzi HTTP, wówczas nagłówek można podzielić, wstawiając znak nowej linii);
CVE-2019-15845 podstawienie znaku null (\0) do znaków sprawdzanych metodami „File.fnmatch” i „File.fnmatch?”. ścieżki plików mogą zostać użyte do fałszywego uruchomienia sprawdzenia;
CVE-2019-16201 — odmowa usługi w module uwierzytelniania Diges dla WEBrick.