پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > روبی 2.6.5، 2.5.7 اور 2.4.8 کو کمزوریوں کے ساتھ اپ ڈیٹ کریں

روبی 2.6.5، 2.5.7 اور 2.4.8 کو کمزوریوں کے ساتھ اپ ڈیٹ کریں

روبی پروگرامنگ زبان کی اصلاحی ریلیز تیار کی گئی ہیں۔ 2.6.5, 2.5.7 и 2.4.8، جس نے چار کمزوریوں کو طے کیا۔ معیاری لائبریری میں سب سے خطرناک خطرہ (CVE-2019-16255) شیل (lib/shell.rb)، جو کی اجازت دیتا ہے کوڈ متبادل انجام دیں. اگر صارف سے موصول ہونے والے ڈیٹا پر فائل کی موجودگی کو جانچنے کے لیے استعمال ہونے والے Shell#[] یا Shell#test طریقوں کے پہلے استدلال میں کارروائی کی جاتی ہے، تو حملہ آور روبی طریقہ کو بلانے کا سبب بن سکتا ہے۔

دیگر مسائل:

  • CVE-2019-16254 - بلٹ ان HTTP سرور کی نمائش ویب برک HTTP رسپانس اسپلٹنگ اٹیک (اگر کوئی پروگرام HTTP رسپانس ہیڈر میں غیر تصدیق شدہ ڈیٹا داخل کرتا ہے، تو ہیڈر کو ایک نئی لائن کریکٹر داخل کرکے تقسیم کیا جاسکتا ہے)؛
  • CVE-2019-15845 "File.fnmatch" اور "File.fnmatch" طریقوں کے ذریعے چیک کیے گئے null کردار (\0) کا متبادل۔ فائل کے راستے چیک کو غلط طریقے سے متحرک کرنے کے لیے استعمال کیے جا سکتے ہیں۔
  • CVE-2019-16201 - WEBrick کے لیے Diges تصدیقی ماڈیول میں سروس سے انکار۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں