Варақаҳои ислоҳкунандаи забони барномасозии Ruby 3.0.1, 2.7.3, 2.6.7 ва 2.5.9 тавлид шудаанд, ки дар онҳо ду осебпазирӣ бартараф карда шудаанд:
- CVE-2021-28965 осебпазирии модули дарунсохт REXML мебошад, ки ҳангоми таҳлил ва силсиласозии ҳуҷҷати XML-и махсус форматшуда метавонад боиси эҷоди ҳуҷҷати XML-и нодуруст гардад, ки сохтораш ба асл мувофиқат намекунад. Шиддати осебпазирӣ аз контекст вобаста аст, аммо ҳамлаҳо алайҳи баъзе замимаҳоеро, ки REXML-ро истифода мебаранд, истисно кардан мумкин нест.
- CVE-2021-28966 осебпазирии хоси платформаи Windows мебошад, ки имкон медиҳад директория ё файли худсарона дар қисматҳои системаи файлие, ки аз ҷониби корбаре, ки раванди Ruby бо ҳуқуқҳояш иҷро мешавад, навишта шавад. Мушкилот дар натиҷаи коркарди нодурусти префикс дар усули Dir.mktmpdir ба вуҷуд омадааст, ки ивазшавии конструксияҳои монанди «..\\»-ро истисно намекунад. Барои ҳамла, раванд бояд ҳангоми тавлиди арзиши префикс маълумоти берунаро истифода барад.
Манбаъ: opennet.ru