Ruby programlama dili 3.0.1, 2.7.3, 2.6.7 ve 2.5.9'un iki güvenlik açığının ortadan kaldırıldığı düzeltici sürümleri oluşturuldu:
- CVE-2021-28965, yerleşik REXML modülünde bulunan ve özel olarak biçimlendirilmiş bir XML belgesini ayrıştırırken ve serileştirirken, yapısı orijinaliyle eşleşmeyen yanlış bir XML belgesinin oluşturulmasına yol açabilen bir güvenlik açığıdır. Güvenlik açığının ciddiyeti büyük ölçüde bağlama bağlıdır ancak REXML kullanan bazı uygulamalara yönelik saldırılar göz ardı edilemez.
- CVE-2021-28966, dosya sisteminin bazı kısımlarında, Ruby işleminin haklarına sahip olarak çalıştığı kullanıcı tarafından yazılabilen rastgele bir dizin veya dosya oluşturulmasına izin veren, Windows platformuna özel bir güvenlik açığıdır. Sorun, Dir.mktmpdir yönteminde önekin yanlış işlenmesinden kaynaklanıyor ve bu, "..\\" gibi yapıların değiştirilmesini hariç tutmuyor. Saldırmak için sürecin önek değerini oluştururken harici verileri kullanması gerekir.
Kaynak: opennet.ru