Kaluaran corrective tina basa programming Ruby geus dihasilkeun , и , nu dibereskeun opat vulnerabilities. Kerentanan anu paling bahaya (CVE-2019-16255) dina perpustakaan standar (lib/shell.rb), anu ngalakukeun substitusi kode. Upami data anu ditampi ti pangguna diolah dina argumen munggaran Shell#[] atanapi metode uji Shell# anu dianggo pikeun mariksa ayana file, panyerang tiasa nyababkeun metode Ruby sawenang-wenang disebut.
Masalah séjén:
- - paparan ka diwangun-di server http Serangan pamisah réspon HTTP (upami program nyelapkeun data anu teu acan diverifikasi kana lulugu réspon HTTP, teras lulugu tiasa dibeulah ku ngalebetkeun karakter baris anyar);
- substitusi karakter null (\ 0) kana pamadegan dipariksa ngaliwatan métode "File.fnmatch" jeung "File.fnmatch?". jalur file bisa dipaké pikeun falsely pemicu cek;
- - panolakan jasa dina modul auténtikasi Diges pikeun WEBrick.
sumber: opennet.ru