Versões corretivas da linguagem de programação Ruby foram geradas , и , que corrigiu quatro vulnerabilidades. A vulnerabilidade mais perigosa (CVE-2019-16255) na biblioteca padrão (lib/shell.rb), que realizar substituição de código. Se os dados recebidos do usuário forem processados no primeiro argumento dos métodos Shell#[] ou Shell#test usados para verificar a presença de um arquivo, um invasor pode fazer com que um método Ruby arbitrário seja chamado.
Outros problemas:
- - exposição ao servidor http integrado Ataque de divisão de resposta HTTP (se um programa inserir dados não verificados no cabeçalho de resposta HTTP, o cabeçalho poderá ser dividido inserindo um caractere de nova linha);
- substituição do caracter nulo (\0) pelos verificados através dos métodos “File.fnmatch” e “File.fnmatch?”. caminhos de arquivo podem ser usados para acionar falsamente a verificação;
- — negação de serviço no módulo de autenticação Diges para WEBrick.
Fonte: opennet.ru