Publicado por mame el 2022-04-12
Traducción de vtamara
Una vulnerabilidad de doble free ha sido descubierta en la compilación de expresiones regulares. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2022-28738. Recomendamos actualizar Ruby con urgencia.
Detalles
Debido a una falla en el proceso de compilación de Regexp, al crear un objeto Regexp con una cadena fuente diseñada, podría ocurrir que la misma memoria sea liberada dos veces. Esto se conoce como una vulnerabilidad de “doble free”. Observe que, en general, se considera inseguro crear y usar un objeto Regexp a partir de una entrada no confiable. En este caso, sin embargo, siguiendo una evaluación detallada, tratamos este problema como una vulnerabilidad.
Por favor actualice Ruby a 3.0.4 o 3.1.2.
Versiones afectadas
- ruby 3.0.3 o previas
- ruby 3.1.1 o previas
Observe que la series 2.6 y 2.7 de Ruby no se vieron afectadas.
Créditos
Agradecemos a piao por descubrir este problema.
Historia
- Publicado originalmente el 2022-04-12 12:00:00 (UTC)