[ON] Обновление Ruby 3.0.1 с устранением уязвимостей

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Ответить
Аватара пользователя
rssbot
Бот
Сообщения: 6002
ОС: gnu/linux

[ON] Обновление Ruby 3.0.1 с устранением уязвимостей

Сообщение rssbot »

Сформированы корректирующие релизы языка программирования Ruby 3.0.1, 2.7.3, 2.6.7 и 2.5.9, в которых устранены две уязвимости:
  • CVE-2021-28965 - уязвимость во встроенном модуле REXML, которая при разборе и сериализации специально оформленного XML-документа может привести к созданию некорректного XML-документа, структура которого не совпадает с оригиналом. Опасность уязвимости сильно зависит от контекста, но не исключается организация атак на некоторые приложения, использующие REXML.
  • CVE-2021-28966 - специфичная для платформы Windows уязвимость, позволяющая создать произвольный каталог или файл в частях ФС, в которых разрешена запись для пользователя, с правами которого выполняется процесс Ruby. Проблема вызвана неверной обработкой префикса в методе Dir.mktmpdir, в котором не исключается подстановка конструкций вида "..\\". Для атаки процесс должен использовать внешние данные при формировании значения префикса.


Источник: https://www.opennet.ru/opennews/art.shtml?num=54911
(opennet.ru, мини-новости)
Спасибо сказали:
Ответить