රූබි 2.6.5, 2.5.7 සහ 2.4.8 යාවත්කාලීන කර ඇති දුර්වලතා සමඟ

Ruby ක්‍රමලේඛන භාෂාවේ නිවැරදි නිකුතු ජනනය කර ඇත 2.6.5, 2.5.7 и 2.4.8, එය දුර්වලතා හතරක් සවි කර ඇත. සම්මත පුස්තකාලයේ ඇති භයානකම අවදානම (CVE-2019-16255) ෂෙල් (lib/shell.rb), එනම් එය ඉඩ කේතය ආදේශ කිරීම සිදු කරන්න. පරිශීලකයාගෙන් ලැබුණු දත්ත Shell#[] හෝ Shell#test ක්‍රමවල පළමු තර්කය තුළ සකසන්නේ නම්, ගොනුවක් තිබේදැයි පරීක්ෂා කිරීමට ප්‍රහාරකයෙකුට අත්තනෝමතික Ruby ක්‍රමයක් ඇමතීමට හේතු විය හැක.

වෙනත් ගැටළු:

• CVE-2019-16254 - බිල්ට් http සේවාදායකයට නිරාවරණය වීම WEBrick HTTP ප්‍රතිචාර බෙදීමේ ප්‍රහාරය (වැඩසටහනක් HTTP ප්‍රතිචාර ශීර්ෂයට සත්‍යාපනය නොකළ දත්ත ඇතුළු කරන්නේ නම්, නව රේඛා අක්ෂරයක් ඇතුළත් කිරීමෙන් ශීර්ෂය බෙදිය හැක);
• CVE-2019-15845 “File.fnmatch” සහ “File.fnmatch?” ක්‍රම හරහා පරීක්ෂා කළ ඒවාට ශුන්‍ය අක්ෂරය (\0) ආදේශ කිරීම. චෙක්පත ව්‍යාජ ලෙස ක්‍රියාත්මක කිරීමට ගොනු මාර්ග භාවිතා කළ හැක;
• CVE-2019-16201 - WEBrick සඳහා Diges සත්‍යාපන මොඩියුලයේ සේවය ප්‍රතික්ෂේප කිරීම.

මූලාශ්රය: opennet.ru