CVE-2022-28739: Desbordamiento de Buffer en conversión de String a Float
Publicado por mame el 2022-04-12
Traducción de vtamara
Se descubrió una vulnerabilidad de desbordamiento de buffer en un algoritmo de conversión de String a Float. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2022-28739. Recomendamos actualizar Ruby con urgencia.
Detalles
Debido a una falla en una función interna que convierte un String
en un Float, algunos métodos de conversión como
Kernel#Float y String#to_f podrían causar desbordamiento del buffer.
Una consecuencia típica es que un proceso termine debido a una
falla de segmentación, pero bajo circunstancias limitadas podría explotarse
para leer memoria ilegalmente.
Por favor actualice a 2.6.10, 2.7.6, 3.0.4, o 3.1.2.
Versiones afectadas
- ruby 2.6.9 o anteriores
- ruby 2.7.5 o anteriores
- ruby 3.0.3 o anteriores
- ruby 3.1.1 o anteriores
Créditos
Agradecemos a piao por descubrir este problema.
Historia
- Publicado originalmente el 2022-04-12 12:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23