රූබි ක්රමලේඛන භාෂාවේ නිවැරදි නිකුතු 3.0.1, 2.7.3, 2.6.7 සහ 2.5.9 උත්පාදනය කර ඇති අතර, එහි දුර්වලතා දෙකක් ඉවත් කරනු ලැබේ:
- CVE-2021-28965 යනු බිල්ට්-ඉන් REXML මොඩියුලයේ ඇති අවදානමක් වන අතර, විශේෂයෙන් ෆෝමැට් කරන ලද XML ලේඛනයක් විග්රහ කිරීම සහ අනුක්රමික කිරීම සිදු කරන විට, එහි ව්යුහය මුල් පිටපතට නොගැලපෙන වැරදි XML ලේඛනයක් නිර්මාණය කිරීමට හේතු විය හැක. අවදානමේ බරපතලකම සන්දර්භය මත දැඩි ලෙස රඳා පවතී, නමුත් REXML භාවිතා කරන සමහර යෙදුම් වලට එරෙහි ප්රහාර බැහැර කළ නොහැක.
- CVE-2021-28966 යනු රූබි ක්රියාවලිය ක්රියාත්මක වන පරිශීලකයා විසින් ලිවිය හැකි ගොනු පද්ධතියේ කොටස්වල අත්තනෝමතික ඩිරෙක්ටරියක් හෝ ගොනුවක් නිර්මාණය කිරීමට ඉඩ සලසන Windows වේදිකාව-විශේෂිත අවදානමකි. "..\\" වැනි ඉදිකිරීම් ආදේශ කිරීම බැහැර නොකරන Dir.mktmpdir ක්රමයේ උපසර්ගය වැරදි ලෙස සැකසීමෙන් ගැටළුව ඇතිවේ. පහර දීමට, ක්රියාවලිය උපසර්ග අගය ජනනය කිරීමේදී බාහිර දත්ත භාවිතා කළ යුතුය.
මූලාශ්රය: opennet.ru