Ruby 程式語言的修正版本已經生成 , и ,修復了四個漏洞。 標準庫中最危險的漏洞(CVE-2019-16255) (lib/shell.rb),其中 執行程式碼替換。 如果從使用者接收的資料在用於檢查檔案是否存在的 Shell#[] 或 Shell#test 方法的第一個參數中進行處理,則攻擊者可以呼叫任意 Ruby 方法。
其他問題:
- - 暴露內建http伺服器 HTTP回應分割攻擊(如果程式將未經驗證的資料插入HTTP回應頭中,則可以透過插入換行符號來分割該頭);
- 將空字元(\0)替換為透過“File.fnmatch”和“File.fnmatch?”方法檢查的字元。 文件路徑可用於錯誤地觸發檢查;
- — WEBrick 的 Diges 驗證模組中的拒絕服務。
來源: opennet.ru