روبی پروگرامنگ لینگویج 3.0.1، 2.7.3، 2.6.7 اور 2.5.9 کی اصلاحی ریلیز تیار کی گئی ہیں، جس میں دو خطرات کو ختم کیا گیا ہے:
- CVE-2021-28965 بلٹ ان REXML ماڈیول میں ایک کمزوری ہے، جو خاص طور پر فارمیٹ شدہ XML دستاویز کو پارس اور سیریلائز کرنے پر، ایک غلط XML دستاویز کی تخلیق کا باعث بن سکتا ہے جس کی ساخت اصل سے مماثل نہیں ہے۔ خطرے کی شدت سیاق و سباق پر بہت زیادہ منحصر ہے، لیکن کچھ ایپلی کیشنز کے خلاف حملوں کو رد نہیں کیا جا سکتا جو REXML استعمال کرتی ہیں۔
- CVE-2021-28966 ایک ونڈوز پلیٹ فارم کے لیے مخصوص کمزوری ہے جو فائل سسٹم کے کچھ حصوں میں ایک صوابدیدی ڈائرکٹری یا فائل بنانے کی اجازت دیتی ہے جو صارف کے لکھنے کے قابل ہیں جن کے حقوق کے ساتھ روبی کا عمل چل رہا ہے۔ مسئلہ Dir.mktmpdir طریقہ میں سابقہ کی غلط پروسیسنگ کی وجہ سے ہے، جو کہ "..\\" جیسی تعمیرات کے متبادل کو خارج نہیں کرتا ہے۔ حملہ کرنے کے لیے، پریفکس ویلیو پیدا کرتے وقت عمل کو بیرونی ڈیٹا کا استعمال کرنا چاہیے۔
ماخذ: opennet.ru