Ang mga corrective release ng Ruby programming language ay nabuo , ΠΈ , na nag-ayos ng apat na kahinaan. Ang pinaka-mapanganib na kahinaan (CVE-2019-16255) sa karaniwang library (lib/shell.rb), na magsagawa ng pagpapalit ng code. Kung ang data na natanggap mula sa user ay naproseso sa unang argumento ng Shell#[] o Shell#test na mga pamamaraan na ginamit upang suriin ang presensya ng isang file, ang isang attacker ay maaaring maging sanhi ng isang arbitrary na paraan ng Ruby na tawagan.
Iba pang mga problema:
- - pagkakalantad sa built-in na http server HTTP response splitting attack (kung ang isang program ay nagpasok ng hindi na-verify na data sa HTTP response header, maaaring hatiin ang header sa pamamagitan ng paglalagay ng newline na character);
- pagpapalit ng null character (\0) sa mga nasuri sa pamamagitan ng mga pamamaraang βFile.fnmatchβ at βFile.fnmatch?β. maaaring gamitin ang mga path ng file upang ma-trigger ang check;
- β pagtanggi ng serbisyo sa module ng pagpapatunay ng Diges para sa WEBrick.
Pinagmulan: opennet.ru