Ruby dasturlash tilining tuzatuvchi relizlari yaratildi , и , bu to'rtta zaiflikni tuzatdi. Standart kutubxonadagi eng xavfli zaiflik (CVE-2019-16255). (lib/shell.rb), qaysi kodni almashtirishni amalga oshiring. Agar foydalanuvchidan olingan ma'lumotlar fayl mavjudligini tekshirish uchun ishlatiladigan Shell#[] yoki Shell#test usullarining birinchi argumentida qayta ishlansa, tajovuzkor o'zboshimchalik bilan Ruby usulini chaqirishi mumkin.
Boshqa muammolar:
- - o'rnatilgan http serveriga ta'sir qilish HTTP javobini bo'lish hujumi (agar dastur HTTP javob sarlavhasiga tasdiqlanmagan ma'lumotlarni kiritsa, sarlavha yangi satr belgisini kiritish orqali bo'linishi mumkin);
- null belgisini (\0) “File.fnmatch” va “File.fnmatch?” usullari orqali tekshirilganlarga almashtirish. fayl yo'llari tekshiruvni noto'g'ri ishga tushirish uchun ishlatilishi mumkin;
- — WEBrick uchun Diges autentifikatsiya modulida xizmat ko‘rsatishni rad etish.
Manba: opennet.ru