Awọn idasilẹ atunṣe ti ede siseto Ruby 3.0.1, 2.7.3, 2.6.7 ati 2.5.9 ti jẹ ipilẹṣẹ, ninu eyiti a ti yọkuro awọn ailagbara meji:
- CVE-2021-28965 jẹ ailagbara ninu module REXML ti a ṣe sinu rẹ, eyiti, nigbati o ba n ṣalaye ati serializing iwe XML ti a ṣe ni pataki, le ja si ṣiṣẹda iwe XML ti ko tọ ti eto rẹ ko baamu atilẹba. Iwọn ailagbara naa dale lori ọrọ-ọrọ, ṣugbọn awọn ikọlu lodi si diẹ ninu awọn ohun elo ti o lo REXML ko le ṣe ofin jade.
- CVE-2021-28966 jẹ ailagbara kan pato iru ẹrọ Windows ti o fun laaye ẹda ti ilana lainidii tabi faili ni awọn apakan ti eto faili ti o jẹ kikọ nipasẹ olumulo pẹlu ẹniti ilana Ruby n ṣiṣẹ. Iṣoro naa jẹ idi nipasẹ sisẹ ti ko tọ ti ìpele ni ọna Dir.mktmpdir, eyi ti ko ni ifesi awọn aropo ti awọn ikole bi “.. \\”. Lati kọlu, ilana naa gbọdọ lo data ita nigbati o ba n ṣẹda iye ìpele.
orisun: opennet.ru