Rilis korektif tina basa pamrograman Ruby 3.0.1, 2.7.3, 2.6.7, sareng 2.5.9 parantos dileupaskeun, ngalereskeun dua kerentanan:
- CVE-2021-28965 nyaéta kerentanan dina modul REXML bawaan. Nalika ngaparsing sareng ngaserialisasi dokumén XML anu didamel khusus, éta tiasa nyababkeun nyiptakeun dokumén XML anu teu valid anu strukturna henteu cocog sareng aslina. Parahna kerentanan gumantung pisan kana kontéks, tapi serangan ngalawan aplikasi-aplikasi tertentu anu nganggo REXML teu tiasa disingkirkeun.
- CVE-2021-28966 - Platform Khusus Windows Karentanan anu ngamungkinkeun nyiptakeun diréktori atanapi file anu teu dihoyongkeun dina bagian sistem file anu tiasa ditulis ku pangguna anu hak istimewana ngajalankeun prosés Ruby. Masalah ieu disababkeun ku penanganan awalan anu salah dina metode Dir.mktmpdir, anu ngamungkinkeun pikeun ngaganti konstruksi sapertos "..\\." Pikeun ngalaksanakeun serangan, prosés kedah nganggo data éksternal nalika ngabentuk nilai awalan.
sumber: opennet.ru
