Обновление Ruby 2.5.1 с устранением уязвимостей
Выпущен корректирующий релиз языка программирования Ruby 2.5.1, в котором устранено шесть уязвимостей:
- CVE-2017–17742 — библиотека WEBrick подвержена подстановке фиктивного ответа через указание символов перевода строки в HTTP-заголовке;
- CVE-2018–6914 — инициирование создания файлов и каталогов через указание символов »…/» в имени префикса временного файла при использовании библиотек tempfile и tmpdir;
- CVE-2018–8777 — вызов отказа в обслуживании (израсходование доступной памяти) при обработке слишком большого HTTP-заголовка в WEBrick;
- CVE-2018–8778 — выход за нижнюю границу буфера при обработке специально оформленных данных в String#unpack;
- CVE-2018–8779 — создание сокета в другом каталоге через указаие нулевого байта (\0) в пути, передаваемом в UNIXServer.open и UNIXSocket.open;
- CVE-2018–8780 — обработка иных каталогов в Dir.open, Dir.new, Dir.entries и Dir.empty при наличии нулевого символа в пути.
© OpenNet