Au fost generate versiuni corective ale limbajului de programare Ruby 3.0.1, 2.7.3, 2.6.7 și 2.5.9, în care sunt eliminate două vulnerabilități:
- CVE-2021-28965 este o vulnerabilitate în modulul REXML încorporat, care, la analizarea și serializarea unui document XML formatat special, poate duce la crearea unui document XML incorect a cărui structură nu se potrivește cu originalul. Severitatea vulnerabilității depinde în mare măsură de context, dar atacurile împotriva unor aplicații care folosesc REXML nu pot fi excluse.
- CVE-2021-28966 - Specific platformei Windows O vulnerabilitate care permite crearea unui director sau fișier arbitrar în părțile sistemului de fișiere, în care utilizatorul cu privilegii rulează procesul Ruby poate scrie. Problema este cauzată de gestionarea incorectă a prefixului în metoda Dir.mktmpdir, care permite înlocuirea construcțiilor precum „..\\”. Pentru a efectua atacul, procesul trebuie să utilizeze date externe la formarea valorii prefixului.
Sursa: opennet.ru
