Ruby 2.6.5, 2.5.7 ve 2.4.8'i güvenlik açıkları düzeltilerek güncelleyin
Ruby programlama dilinin düzeltici sürümleri oluşturuldu 2.6.5, 2.5.7 и 2.4.8, dört güvenlik açığını düzeltti. Standart kütüphanedeki en tehlikeli güvenlik açığı (CVE-2019-16255) Kabuk (lib/shell.rb), hangi verir kod değiştirme işlemini gerçekleştirin. Kullanıcıdan alınan veriler, bir dosyanın varlığını kontrol etmek için kullanılan Shell#[] veya Shell#test yöntemlerinin ilk argümanında işlenirse, saldırgan rastgele bir Ruby yönteminin çağrılmasına neden olabilir.
Diğer problemler:
CVE-2019-16254 - yerleşik http sunucusuna maruz kalma WEBrick HTTP yanıt bölme saldırısı (bir program, HTTP yanıt başlığına doğrulanmamış veri eklerse, başlık, yeni satır karakteri eklenerek bölünebilir);
CVE-2019-15845 boş karakterin (\0) “File.fnmatch” ve “File.fnmatch?” yöntemleriyle kontrol edilenlere değiştirilmesi. dosya yolları kontrolü yanlışlıkla tetiklemek için kullanılabilir;
CVE-2019-16201 — WEBrick için Diges kimlik doğrulama modülünde hizmet reddi.