Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимостей

1 октября 2019 года

Сформированы корректирующие релизы языка программирования Ruby 2.6.5, 2.5.7 и 2.4.8, в которых устранены четыре уязвимости. Наиболее опасная уязвимость (CVE-2019-16255) в стандартной библиотеке Shell (lib/shell.rb), которая позволяет осуществить подстановку кода. В случае обработки полученных от пользователя данных в первом аргументе методов Shell#[] или Shell#test, используемых для проверки наличия файла, атакующий может добиться вызова произвольного Ruby-метода.

Другие проблемы:

  • CVE-2019-16254 - подверженность встроенного http-сервера WEBrick атаке по разделению ответов HTTP (если программа подставляет непроверенные данные в HTTP-заголовок ответа, то через вставку символа перевода строки можно разделить заголовок);
  • CVE-2019-15845 подстановка нулевого символа (\0) в проверяемые через методы "File.fnmatch" и "File.fnmatch?" файловые пути, может быть использована для ложного срабатывания проверки;
  • CVE-2019-16201 - отказ в обслуживании в модуле Diges-аутентификации для WEBrick.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.