CVE-2022-28738: Doble free en compilación de expresiones regulares
Publicado por mame el 2022-04-12
Traducción de vtamara
Una vulnerabilidad de doble free ha sido descubierta en la compilación de expresiones regulares. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2022-28738. Recomendamos actualizar Ruby con urgencia.
Detalles
Debido a una falla en el proceso de compilación de Regexp, al crear un objeto Regexp con una cadena fuente diseñada, podría ocurrir que la misma memoria sea liberada dos veces. Esto se conoce como una vulnerabilidad de “doble free”. Observe que, en general, se considera inseguro crear y usar un objeto Regexp a partir de una entrada no confiable. En este caso, sin embargo, siguiendo una evaluación detallada, tratamos este problema como una vulnerabilidad.
Por favor actualice Ruby a 3.0.4 o 3.1.2.
Versiones afectadas
- ruby 3.0.3 o previas
- ruby 3.1.1 o previas
Observe que la series 2.6 y 2.7 de Ruby no se vieron afectadas.
Créditos
Agradecemos a piao por descubrir este problema.
Historia
- Publicado originalmente el 2022-04-12 12:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23