Atualize Ruby 2.6.5, 2.5.7 e 2.4.8 com vulnerabilidades corrigidas
Versões corretivas da linguagem de programação Ruby foram geradas 2.6.5, 2.5.7 и 2.4.8, que corrigiu quatro vulnerabilidades. A vulnerabilidade mais perigosa (CVE-2019-16255) na biblioteca padrão concha (lib/shell.rb), que permite realizar substituição de código. Se os dados recebidos do usuário forem processados no primeiro argumento dos métodos Shell#[] ou Shell#test usados para verificar a presença de um arquivo, um invasor pode fazer com que um método Ruby arbitrário seja chamado.
Outros problemas:
CVE-2019-16254 - exposição ao servidor http integrado WEBrick Ataque de divisão de resposta HTTP (se um programa inserir dados não verificados no cabeçalho de resposta HTTP, o cabeçalho poderá ser dividido inserindo um caractere de nova linha);
CVE-2019-15845 substituição do caracter nulo (\0) pelos verificados através dos métodos “File.fnmatch” e “File.fnmatch?”. caminhos de arquivo podem ser usados para acionar falsamente a verificação;
CVE-2019-16201 — negação de serviço no módulo de autenticação Diges para WEBrick.