CVE-2022-28739: Buffer overrun в перетворенні String-to-Float
Опублікував mame 12-04-2022
Переклав: Andrii Furmanets
Була виявлена вразливість buffer-overrun в алгоритмі перетворення з String в Float. Цій вразливості присвоєно ідентифікатор CVE CVE-2022-28739. Ми настійно рекомендуємо оновити Ruby.
Деталі
Через помилку у внутрішній функції, яка перетворює String в Float, деякі методи перетворення, такі як Kernel#Float та String#to_f, могли спричинити buffer over-read.
Типовий наслідок - завершення процесу через segmentation fault, але в обмежених обставинах це може бути використано для незаконного читання пам’яті.
Будь ласка, оновіть Ruby до 2.6.10, 2.7.6, 3.0.4, або 3.1.2.
Зачеплені версії
- ruby 2.6.9 або раніше
- ruby 2.7.5 або раніше
- ruby 3.0.3 або раніше
- ruby 3.1.1 або раніше
Подяка
Дякую piao за виявлення цієї проблеми.
Історія
- Спочатку опубліковано 2022-04-12 12:00:00 (UTC)
Останні новини
Вийшов Ruby 4.0.4
Вийшов Ruby 4.0.4.
Опублікував k0kubun 11-05-2026
Вийшов Ruby 4.0.3
Вийшов Ruby 4.0.3.
Опублікував k0kubun 21-04-2026
Вийшов Ruby 3.2.11
Вийшов Ruby 3.2.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820.
Опублікував hsbt 27-03-2026
Вийшов Ruby 3.3.11
Вийшов Ruby 3.3.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820, а також кілька виправлень помилок.
Опублікував hsbt 26-03-2026