Ang mga corrective release ng Ruby programming language 3.0.1, 2.7.3, 2.6.7 at 2.5.9 ay nabuo, kung saan ang dalawang kahinaan ay inalis:
- Ang CVE-2021-28965 ay isang kahinaan sa built-in na REXML module, na, kapag nag-parse at nagse-serialize ng isang espesyal na format na XML na dokumento, ay maaaring humantong sa paglikha ng isang maling XML na dokumento na ang istraktura ay hindi tumutugma sa orihinal. Ang kalubhaan ng kahinaan ay lubos na nakadepende sa konteksto, ngunit ang mga pag-atake laban sa ilang mga application na gumagamit ng REXML ay hindi maaaring maalis.
- Ang CVE-2021-28966 ay isang Windows platform-specific na kahinaan na nagbibigay-daan sa paglikha ng isang arbitrary na direktoryo o file sa mga bahagi ng file system na maaaring isulat ng user na may mga karapatan na tumatakbo ang proseso ng Ruby. Ang problema ay sanhi ng maling pagpoproseso ng prefix sa pamamaraang Dir.mktmpdir, na hindi ibinubukod ang pagpapalit ng mga construction tulad ng "..\\". Upang pag-atake, ang proseso ay dapat gumamit ng panlabas na data kapag bumubuo ng prefix na halaga.
Pinagmulan: opennet.ru