Korrigerande utgåvor av programmeringsspråket Ruby 3.0.1, 2.7.3, 2.6.7 och 2.5.9 har skapats, där två sårbarheter har eliminerats:
- CVE-2021-28965 är en sårbarhet i den inbyggda REXML-modulen som, vid parsning och serialisering av ett specialskrivet XML-dokument, kan leda till att ett ogiltigt XML-dokument skapas vars struktur inte matchar originalet. Sårbarhetens allvarlighetsgrad är starkt kontextberoende, men det kan inte uteslutas att attacker kan organiseras mot vissa applikationer som använder REXML.
- CVE-2021-28966 - Plattformsspecifik Windows En sårbarhet som möjliggör skapandet av en godtycklig katalog eller fil i filsystemdelar som är skrivbar av den användare med vars behörigheter Ruby-processen körs. Problemet orsakas av felaktig prefixhantering i Dir.mktmpdir-metoden, vilket möjliggör substitution av konstruktioner som "..\\". För att utföra attacken måste processen använda externa data när prefixvärdet bildas.
Källa: opennet.ru
