Ruby dasturlash tilining 3.0.1, 2.7.3, 2.6.7 va 2.5.9 tuzatuvchi versiyalari yaratildi, ularda ikkita zaiflik bartaraf etildi:
- CVE-2021-28965 - bu o'rnatilgan REXML modulidagi zaiflik bo'lib, u maxsus formatlangan XML hujjatni tahlil qilish va ketma-ketlashtirishda tuzilishi asl nusxaga mos kelmaydigan noto'g'ri XML hujjatining yaratilishiga olib kelishi mumkin. Zaiflikning jiddiyligi ko'p jihatdan kontekstga bog'liq, ammo REXML dan foydalanadigan ba'zi ilovalarga hujumlarni inkor etib bo'lmaydi.
- CVE-2021-28966 Windows platformasiga xos zaiflik boʻlib, Ruby jarayoni oʻz huquqlari bilan ishlayotgan foydalanuvchi tomonidan yozish mumkin boʻlgan fayl tizimining qismlarida ixtiyoriy katalog yoki fayl yaratish imkonini beradi. Muammo Dir.mktmpdir usulida prefiksni noto'g'ri qayta ishlashdan kelib chiqadi, bu "..\\" kabi konstruktsiyalarni almashtirishni istisno qilmaydi. Hujum qilish uchun jarayon prefiks qiymatini yaratishda tashqi ma'lumotlardan foydalanishi kerak.
Manba: opennet.ru