Các bản phát hành sửa lỗi của ngôn ngữ lập trình Ruby đã được tạo , и , đã sửa bốn lỗ hổng. Lỗ hổng nguy hiểm nhất (CVE-2019-16255) trong thư viện chuẩn (lib/shell.rb), trong đó thực hiện thay thế mã. Nếu dữ liệu nhận được từ người dùng được xử lý trong đối số đầu tiên của phương thức Shell#[] hoặc Shell#test được sử dụng để kiểm tra sự hiện diện của tệp, kẻ tấn công có thể gọi một phương thức Ruby tùy ý.
Các vấn đề khác:
- - tiếp xúc với máy chủ http tích hợp Tấn công phân tách phản hồi HTTP (nếu một chương trình chèn dữ liệu chưa được xác minh vào tiêu đề phản hồi HTTP thì tiêu đề có thể được phân tách bằng cách chèn ký tự dòng mới);
- thay thế ký tự null (\ 0) thành các ký tự được kiểm tra thông qua các phương thức “File.fnmatch” và “File.fnmatch?”. đường dẫn tệp có thể được sử dụng để kích hoạt kiểm tra sai;
- — từ chối dịch vụ trong mô-đun xác thực Diges cho WEBrick.
Nguồn: opennet.ru