CVE-2024-27282: Lectura de direcciones de memoria arbitrarias al buscar Regex
Publicado por hsbt el 2024-04-23
Traducción de vtamara
Hemos publicado las versiones 3.0.7, 3.1.5, 3.2.4 y 3.3.1 que incluyen una corrección de seguridad para una vulnerabilidad de lectura de direcciones de memoria arbitrarias en la búsqueda Regex. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2024-27282.
Detalles
Se ha descubierto un problema en Ruby 3.x incluyendo 3.3.0.
Si se suministran datos preparados por un atacante al compilador de Regex de Ruby, es posible extraer datos del heap relacionados con el comienzo del texto, incluyendo apuntadores a cadenas sensitivas.
Acción recomendada
Recomendamos actualizar a la versión de Ruby 3.3.1 o posterior. Para asegurar compatibilidad con series anteriores de Ruby, en lugar de eso, puede actualizar como se indica a continuación:
- Para usuarios de Ruby 3.0: Actualizar a 3.0.7
- Para usuarios de Ruby 3.1: Actualizar a 3.1.5
- Para usuarios de Ruby 3.2: Actualizar a 3.2.4
Versiones afectadas
- Ruby 3.0.6 y anteriores
- Ruby 3.1.4 y anteriores
- Ruby 3.2.3 y anteriores
- Ruby 3.3.0
Creditos
Agradecmoes a sp2ip por descubrir este problema.
Historia
- Publicado originalmente el 2024-04-23 10:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23