Варақаҳои ислоҳкунандаи забони барномасозии Ruby тавлид шудаанд , и , ки чор камбудиро бартараф кард. Хавфноктарин осебпазирӣ (CVE-2019-16255) дар китобхонаи стандартӣ (lib/shell.rb), ки иваз кардани кодро иҷро кунед. Агар маълумоти аз корбар гирифташуда дар аргументи аввалин усулҳои санҷиши Shell#[] ё Shell#test, ки барои тафтиши мавҷудияти файл истифода мешаванд, коркард шавад, ҳамлакунанда метавонад боиси даъвати усули худсаронаи Ruby гардад.
Мушкилоти дигар:
- - дучоршавӣ ба сервери дарунсохт http Ҳамлаи тақсимкунии посухи HTTP (агар барнома ба сарлавҳаи посухи HTTP маълумоти тасдиқнашударо ворид кунад, пас сарлавҳаро тавассути ворид кардани аломати сатри нав метавон тақсим кард);
- иваз кардани аломати нул (\0) ба онҳое, ки тавассути усулҳои "File.fnmatch" ва "File.fnmatch?" тафтиш карда мешаванд. роҳҳои файл метавонад барои бардурӯғ ангеза додани чек истифода шавад;
- — рад кардани хидмат дар модули аутентификатсияи Diges барои WEBrick.
Манбаъ: opennet.ru