דערהייַנטיקן Ruby 2.6.5, 2.5.7 און 2.4.8 מיט וואַלנעראַביליטיז פאַרפעסטיקט

קערעקטיוו ריליסיז פון די Ruby פּראָגראַממינג שפּראַך זענען דזשענערייטאַד 2.6.5, 2.5.7 и 2.4.8, וואָס פאַרפעסטיקט פיר וואַלנעראַביליטיז. די מערסט געפערלעך וואַלנעראַביליטי (CVE-2019-16255) אין דער נאָרמאַל ביבליאָטעק שאָל (lib/shell.rb), וואָס עס אַלאַוז דורכפירן קאָד סאַבסטיטושאַן. אויב דאַטן באקומען פון דער באַניצער זענען פּראַסעסט אין דער ערשטער אַרגומענט פון די Shell#[] אָדער Shell# טעסט מעטהאָדס געניצט צו קאָנטראָלירן דעם בייַזייַן פון אַ טעקע, אַ אַטאַקער קענען אָנמאַכן אַ אַרביטראַריש רובי אופֿן.

אנדערע פראבלעמען:

• CVE-2019-16254 - ויסשטעלן צו די געבויט-אין הטטפּ סערווער וועבריק הטטפּ ענטפער ספּליטינג באַפאַלן (אויב אַ פּראָגראַם ינסערץ אַנוועראַפייד דאַטן אין די הטטפּ ענטפער כעדער, די כעדער קענען זיין שפּאַלטן דורך ינסערטינג אַ נעווליין כאַראַקטער);
• CVE-2019-15845 סאַבסטיטושאַן פון די נאַל כאַראַקטער (\0) אין די אָפּגעשטעלט דורך די "File.fnmatch" און "File.fnmatch?" מעטהאָדס. טעקע פּאַטס קענען ווערן גענוצט צו פאַלש צינגל די טשעק;
• CVE-2019-16201 - אָפּלייקענונג פון דינסט אין די דיגעס אָטענטאַקיישאַן מאָדולע פֿאַר WEBrick.

מקור: opennet.ru