Korrigerande utgåvor av Ruby programmeringsspråk 3.0.1, 2.7.3, 2.6.7 och 2.5.9 har genererats, där två sårbarheter har eliminerats:
- CVE-2021-28965 är en sårbarhet i den inbyggda REXML-modulen, som vid analys och serialisering av ett speciellt formaterat XML-dokument kan leda till att ett felaktigt XML-dokument skapas vars struktur inte stämmer överens med originalet. Sårbarhetens svårighetsgrad beror mycket på sammanhanget, men attacker mot vissa applikationer som använder REXML kan inte uteslutas.
- CVE-2021-28966 är en Windows-plattformsspecifik sårbarhet som tillåter skapandet av en godtycklig katalog eller fil i delar av filsystemet som är skrivbara av användaren med vars rättigheter Ruby-processen körs. Problemet orsakas av felaktig bearbetning av prefixet i metoden Dir.mktmpdir, vilket inte utesluter ersättning av konstruktioner som "..\\". För att attackera måste processen använda extern data när prefixvärdet genereras.
Källa: opennet.ru