Matoleo sahihi ya lugha ya programu ya Ruby yametolewa , ΠΈ , ambayo ilirekebisha udhaifu nne. Athari hatari zaidi (CVE-2019-16255) katika maktaba ya kawaida (lib/shell.rb), ambayo kufanya ubadilishaji wa kanuni. Ikiwa data iliyopokelewa kutoka kwa mtumiaji itachakatwa katika hoja ya kwanza ya Shell#[] au Shell#test mbinu zinazotumiwa kuangalia uwepo wa faili, mshambulizi anaweza kusababisha mbinu ya Ruby kuitwa kiholela.
Matatizo mengine:
- - yatokanayo na seva ya http iliyojengwa Shambulio la kugawanya majibu ya HTTP (ikiwa programu itaingiza data ambayo haijathibitishwa kwenye kichwa cha majibu ya HTTP, basi kichwa kinaweza kugawanywa kwa kuingiza herufi mpya);
- uingizwaji wa herufi batili (\0) kwa zile zilizoteuliwa kupitia mbinu za βFile.fnmatchβ na βFile.fnmatch?β. njia za faili zinaweza kutumika kwa uongo kusababisha hundi;
- - kunyimwa huduma katika moduli ya uthibitishaji wa Diges ya WEBrick.
Chanzo: opennet.ru