CVE-2022-28739: Desbordamiento de Buffer en conversión de String a Float

Publicado por mame el 2022-04-12
Traducción de vtamara

Se descubrió una vulnerabilidad de desbordamiento de buffer en un algoritmo de conversión de String a Float. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2022-28739. Recomendamos actualizar Ruby con urgencia.

Detalles

Debido a una falla en una función interna que convierte un String en un Float, algunos métodos de conversión como Kernel#Float y String#to_f podrían causar desbordamiento del buffer. Una consecuencia típica es que un proceso termine debido a una falla de segmentación, pero bajo circunstancias limitadas podría explotarse para leer memoria ilegalmente.

Por favor actualice a 2.6.10, 2.7.6, 3.0.4, o 3.1.2.

Versiones afectadas

ruby 2.6.9 o anteriores
ruby 2.7.5 o anteriores
ruby 3.0.3 o anteriores
ruby 3.1.1 o anteriores

Créditos

Agradecemos a piao por descubrir este problema.

Historia

Publicado originalmente el 2022-04-12 12:00:00 (UTC)

Ruby

El mejor amigo de un desarrollador

CVE-2022-28739: Desbordamiento de Buffer en conversión de String a Float

Detalles

Versiones afectadas

Créditos

Historia

Noticias recientes

Feeds de noticias (RSS)