రూబీ 2.6.5, 2.5.7 మరియు 2.4.8ని అప్‌డేట్ చేయండి

రూబీ ప్రోగ్రామింగ్ లాంగ్వేజ్ యొక్క దిద్దుబాటు విడుదలలు రూపొందించబడ్డాయి 2.6.5, 2.5.7 и 2.4.8, ఇది నాలుగు దుర్బలత్వాలను పరిష్కరించింది. ప్రామాణిక లైబ్రరీలో అత్యంత ప్రమాదకరమైన దుర్బలత్వం (CVE-2019-16255) షెల్ (lib/shell.rb), ఇది ఇది అనుమతిస్తుంది కోడ్ ప్రత్యామ్నాయం చేయండి. ఫైల్ ఉనికిని తనిఖీ చేయడానికి ఉపయోగించే Shell#[] లేదా Shell#test పద్ధతుల యొక్క మొదటి ఆర్గ్యుమెంట్‌లో వినియోగదారు నుండి స్వీకరించబడిన డేటా ప్రాసెస్ చేయబడితే, దాడి చేసే వ్యక్తి ఏకపక్ష రూబీ పద్ధతిని పిలవడానికి కారణం కావచ్చు.

ఇతర సమస్యలు:

• CVE-2019-16254 - అంతర్నిర్మిత http సర్వర్‌కు బహిర్గతం WEBrick HTTP ప్రతిస్పందన విభజన దాడి (ఒక ప్రోగ్రామ్ ధృవీకరించని డేటాను HTTP ప్రతిస్పందన హెడర్‌లోకి చొప్పించినట్లయితే, కొత్త లైన్ అక్షరాన్ని చొప్పించడం ద్వారా హెడర్‌ను విభజించవచ్చు);
• CVE-2019-15845 "File.fnmatch" మరియు "File.fnmatch?" పద్ధతుల ద్వారా తనిఖీ చేయబడిన వాటిలో శూన్య అక్షరం (\0) యొక్క ప్రత్యామ్నాయం. తనిఖీని తప్పుగా ట్రిగ్గర్ చేయడానికి ఫైల్ మార్గాలను ఉపయోగించవచ్చు;
• CVE-2019-16201 - WEBrick కోసం Diges ప్రమాణీకరణ మాడ్యూల్‌లో సేవ యొక్క తిరస్కరణ.

మూలం: opennet.ru