🥇อัปเดต Ruby 2.6.5, 2.5.7 และ 2.4.8 พร้อมแก้ไขช่องโหว่

มีการสร้างรุ่นแก้ไขของภาษาการเขียนโปรแกรม Ruby 2.6.5, 2.5.7 и 2.4.8ซึ่งแก้ไขช่องโหว่สี่รายการ ช่องโหว่ที่อันตรายที่สุด (CVE-2019-16255) ในไลบรารีมาตรฐาน เปลือก (lib/shell.rb) ซึ่ง ช่วยให้ ดำเนินการทดแทนรหัส หากข้อมูลที่ได้รับจากผู้ใช้ได้รับการประมวลผลในอาร์กิวเมนต์แรกของเมธอด Shell#[] หรือ Shell#test ที่ใช้ในการตรวจสอบการมีอยู่ของไฟล์ ผู้โจมตีอาจทำให้มีการเรียกเมธอด Ruby โดยอำเภอใจได้

ปัญหาอื่นๆ:

CVE-2019-16254 - การเปิดรับเซิร์ฟเวอร์ http ในตัว เว็บบริค การโจมตีแบบแยกการตอบสนอง HTTP (หากโปรแกรมแทรกข้อมูลที่ไม่ได้รับการยืนยันลงในส่วนหัวการตอบสนอง HTTP ส่วนหัวสามารถแยกได้โดยการแทรกอักขระขึ้นบรรทัดใหม่)
CVE-2019-15845 การแทนที่อักขระ null (\0) ลงในอักขระที่ตรวจสอบผ่านวิธี "File.fnmatch" และ "File.fnmatch?" เส้นทางของไฟล์สามารถใช้เพื่อกระตุ้นการตรวจสอบอย่างไม่ถูกต้อง
CVE-2019-16201 — การปฏิเสธการให้บริการในโมดูลการตรวจสอบสิทธิ์ Diges สำหรับ WEBrick

ที่มา: opennet.ru

อัปเดต Ruby 2.6.5, 2.5.7 และ 2.4.8 พร้อมแก้ไขช่องโหว่

เพิ่มความคิดเห็น ยกเลิกการตอบ