Matoleo sahihi ya lugha ya programu ya Ruby 3.0.1, 2.7.3, 2.6.7 na 2.5.9 yametolewa, ambapo udhaifu mbili huondolewa:
- CVE-2021-28965 ni hatari katika moduli iliyojengwa ya REXML, ambayo, wakati wa kuchanganua na kusasisha hati ya XML iliyoumbizwa mahususi, inaweza kusababisha kuundwa kwa hati isiyo sahihi ya XML ambayo muundo wake haulingani na asilia. Ukali wa athari hutegemea sana muktadha, lakini mashambulizi dhidi ya baadhi ya programu zinazotumia REXML hayawezi kuondolewa.
- CVE-2021-28966 ni hatari ya mfumo mahususi wa Windows ambayo inaruhusu kuundwa kwa saraka au faili kiholela katika sehemu za mfumo wa faili ambazo zinaweza kuandikwa na mtumiaji ambaye mchakato wa Ruby unaendelea kwa haki zake. Tatizo linasababishwa na usindikaji usio sahihi wa kiambishi awali katika njia ya Dir.mktmpdir, ambayo haijumuishi uingizwaji wa miundo kama vile β..\\β. Ili kushambulia, mchakato lazima utumie data ya nje wakati wa kutoa thamani ya kiambishi awali.
Chanzo: opennet.ru