روبي پروگرامنگ ٻولي 3.0.1، 2.7.3، 2.6.7 ۽ 2.5.9 جي اصلاحي رليز ٺاهيا ويا آهن، جن ۾ ٻه ڪمزوريون ختم ڪيون ويون آهن:
- CVE-2021-28965 تعمير ٿيل REXML ماڊل ۾ هڪ ڪمزور آهي، جيڪو، خاص طور تي فارميٽ ٿيل XML دستاويزن کي پارس ڪرڻ ۽ سيريل ڪرڻ وقت، هڪ غلط XML دستاويز جي تخليق جو سبب بڻجي سگهي ٿو، جنهن جي ساخت اصل سان نه ٿي ملي. خطري جي شدت جو دارومدار تمام گھڻو ان حوالي سان آھي، پر ڪجھ ايپليڪيشنن جي خلاف حملن جيڪي REXML استعمال ڪن ٿيون، ان کي رد نٿو ڪري سگھجي.
- CVE-2021-28966 هڪ ونڊوز پليٽ فارم لاءِ مخصوص ڪمزوري آهي جيڪا اجازت ڏئي ٿي هڪ صوابديدي ڊاريڪٽري يا فائل سسٽم جي حصن ۾ فائل ٺاهڻ جي اجازت ڏئي ٿي جيڪا صارف طرفان لکي سگهجي ٿي جن جي حقن سان روبي جو عمل هلندڙ آهي. مسئلو Dir.mktmpdir طريقي ۾ اڳفڪس جي غلط پروسيسنگ جي ڪري پيدا ٿيو آهي، جيڪو "..\\" وانگر تعميرات جي متبادل کي خارج نٿو ڪري. حملي ڪرڻ لاء، پروسيس کي خارجي ڊيٽا استعمال ڪرڻ گهرجي جڏهن پريفڪس ويل ٺاهيندي.
جو ذريعو: opennet.ru