Wygenerowano wydania korygujące języka programowania Ruby 3.0.1, 2.7.3, 2.6.7 i 2.5.9, w których wyeliminowane zostały dwie luki:
- CVE-2021-28965 to luka we wbudowanym module REXML, która podczas parsowania i serializacji specjalnie sformatowanego dokumentu XML może doprowadzić do powstania nieprawidłowego dokumentu XML, którego struktura nie odpowiada oryginałowi. Waga luki zależy w dużej mierze od kontekstu, ale nie można wykluczyć ataków na niektóre aplikacje korzystające z REXML.
- CVE-2021-28966 to luka w zabezpieczeniach specyficzna dla platformy Windows, która umożliwia utworzenie dowolnego katalogu lub pliku w częściach systemu plików, do których zapis może mieć użytkownik, z którego uprawnieniami działa proces Ruby. Problem wynika z nieprawidłowego przetworzenia prefiksu w metodzie Dir.mktmpdir, co nie wyklucza podstawienia konstrukcji typu „..\\”. Aby zaatakować, proces musi użyć danych zewnętrznych podczas generowania wartości prefiksu.
Źródło: opennet.ru