Au fost generate versiuni corective ale limbajului de programare Ruby , и , care a remediat patru vulnerabilități. Cea mai periculoasă vulnerabilitate (CVE-2019-16255) din biblioteca standard (lib/shell.rb), care efectuați înlocuirea codului. Dacă datele primite de la utilizator sunt procesate în primul argument al metodelor Shell#[] sau Shell#test utilizate pentru a verifica prezența unui fișier, un atacator poate obține apelul unei metode Ruby arbitrare.
Alte probleme:
- - expunerea la serverul http încorporat Atacul de divizare a răspunsului HTTP (dacă un program inserează date neverificate în antetul răspunsului HTTP, atunci antetul poate fi divizat prin inserarea unui caracter newline);
- înlocuirea caracterului nul (\0) în cele verificate prin metodele „File.fnmatch” și „File.fnmatch?”. căile fișierelor pot fi folosite pentru a declanșa în mod fals verificarea;
- — refuzul serviciului în modulul de autentificare Diges pentru WEBrick.
Sursa: opennet.ru