Ustvarjene so bile popravne izdaje programskega jezika Ruby 3.0.1, 2.7.3, 2.6.7 in 2.5.9, v katerih sta odpravljeni dve ranljivosti:
- CVE-2021-28965 je ranljivost v vgrajenem modulu REXML, ki lahko pri razčlenjevanju in serializaciji posebej oblikovanega dokumenta XML povzroči ustvarjanje nepravilnega dokumenta XML, katerega struktura se ne ujema z izvirnikom. Resnost ranljivosti je močno odvisna od konteksta, vendar napadov na nekatere aplikacije, ki uporabljajo REXML, ni mogoče izključiti.
- CVE-2021-28966 je ranljivost, specifična za platformo Windows, ki omogoča ustvarjanje poljubnega imenika ali datoteke v delih datotečnega sistema, v katere lahko piše uporabnik, s pravicami katerega se izvaja proces Ruby. Težavo povzroča nepravilna obdelava predpone v metodi Dir.mktmpdir, ki ne izključuje zamenjave konstrukcij, kot je »..\\«. Za napad mora proces pri generiranju vrednosti predpone uporabiti zunanje podatke.
Vir: opennet.ru