Boli vygenerované opravné vydania programovacieho jazyka Ruby 3.0.1, 2.7.3, 2.6.7 a 2.5.9, v ktorých sú odstránené dve zraniteľnosti:
- CVE-2021-28965 je zraniteľnosť vstavaného modulu REXML, ktorá pri analýze a serializácii špeciálne naformátovaného dokumentu XML môže viesť k vytvoreniu nesprávneho dokumentu XML, ktorého štruktúra sa nezhoduje s originálom. Závažnosť zraniteľnosti do značnej miery závisí od kontextu, ale nemožno vylúčiť útoky na niektoré aplikácie, ktoré používajú REXML.
- CVE-2021-28966 je zraniteľnosť špecifická pre platformu Windows, ktorá umožňuje vytvorenie ľubovoľného adresára alebo súboru v častiach súborového systému, do ktorých môže zapisovať používateľ, s právami ktorého je spustený proces Ruby. Problém je spôsobený nesprávnym spracovaním prefixu v metóde Dir.mktmpdir, čo nevylučuje nahradenie konštrukcií ako „..\\“. Na útok musí proces pri generovaní hodnoty prefixu použiť externé údaje.
Zdroj: opennet.ru