Обновление Ruby 2.5.1 с устранением уязвимостей

29 марта 2018 года

Выпущен корректирующий релиз языка программирования Ruby 2.5.1, в котором устранено шесть уязвимостей:

  • CVE-2017-17742 - библиотека WEBrick подвержена подстановке фиктивного ответа через указание символов перевода строки в HTTP-заголовке;
  • CVE-2018-6914 - инициирование создания файлов и каталогов через указание символов "../" в имени префикса временного файла при использовании библиотек tempfile и tmpdir;
  • CVE-2018-8777 - вызов отказа в обслуживании (израсходование доступной памяти) при обработке слишком большого HTTP-заголовка в WEBrick;
  • CVE-2018-8778 - выход за нижнюю границу буфера при обработке специально оформленных данных в String#unpack;
  • CVE-2018-8779 - создание сокета в другом каталоге через указаие нулевого байта (\0) в пути, передаваемом в UNIXServer.open и UNIXSocket.open;
  • CVE-2018-8780 - обработка иных каталогов в Dir.open, Dir.new, Dir.entries и Dir.empty при наличии нулевого символа в пути.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление Ruby 2.5.1 с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.