Сформовано коригувальні релізи мови програмування Ruby 3.0.1, 2.7.3, 2.6.7 та 2.5.9, у яких усунуто дві вразливості:
- CVE-2021-28965 – вразливість у вбудованому модулі REXML, яка при розборі та серіалізації спеціально оформленого XML-документа може призвести до створення некоректного XML-документа, структура якого не співпадає з оригіналом. Небезпека вразливості залежить від контексту, але не виключається організація атак на деякі додатки, що використовують REXML.
- CVE-2021-28966 - специфічна для платформи Windows вразливість, що дозволяє створити довільний каталог або файл у частинах ФС, в яких дозволено запис для користувача, з правами якого виконується процес Ruby. Проблема викликана неправильною обробкою префікса у методі Dir.mktmpdir, у якому не виключається підстановка конструкцій виду «..». Для атаки процес повинен використовувати зовнішні дані для формування значення префікса.
Джерело: opennet.ru