30.06.2022

Корректирующие выпуски Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 с устранением уязвимостей

Сформированы корректирующие релизы языка программирования Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, в которых устранены две уязвимости:

  • CVE-2022-28738 — двойное освобождение памяти (double-free) в коде компиляции регулярных выражений, возникающее при передаче специально оформленной строки при создании объекта Regexp. Уязвимость может быть эксплуатирована при использовании в объекте Regexp непроверенных внешних данных.
  • CVE-2022-28739 — переполнение буфера в коде преобразования из строки в число с плавающей запятой. Потенциально уязвимость может быть эксплуатирована для получения доступа к содержимому памяти при обработке непроверенных внешних данных в таких методах, как Kernel#Float и String#to_f.

Источник.