CVE-2022-28739: Buffer overrun pada konversi String-to-Float
Ditulis oleh mame tanggal 2022-04-12
Diterjemahkan oleh meisyal
Sebuah kerentanan buffer-overrun telah ditemukan pada algoritma konversi dari sebuah String ke Float. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2022-28739. Kami sangat merekomendasikan untuk memperbarui Ruby.
Detail
Disebabkan oleh sebuah bug pada fungsi internal yang mengonversi sebuah String
ke Float, beberapa metode konversi, seperti Kernel#Float dan String#to_f,
bisa menyebabkan buffer over-read. Konsekuensi khas dari kerentanan ini
adalah berhentinya sebuah proses karena segmentation fault. Tetapi, dalam
keadaan terbatas, kerentanan ini bisa dieksploitasi menjadi illegal memory read.
Mohon perbarui Ruby ke 2.6.10, 2.7.6, 3.0.4, atau 3.1.2.
Versi terimbas
- ruby 2.6.9 atau sebelumnya
- ruby 2.7.5 atau sebelumnya
- ruby 3.0.3 atau sebelumnya
- ruby 3.1.1 atau sebelumnya
Rujukan
Terima kasih kepada piao yang telah menemukan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2022-04-12 12:00:00 (UTC)
Berita Baru
Ruby 3.3.0-preview3 Dirilis
Kami dengan senang hati mengumumkan rilis dari Ruby 3.3.0-preview3. Ruby 3.3 menambahkan sebuah parser baru yang bernama Prism, menggunakan Lrama sebagai parser generator, menambahkan pure-Ruby...
Ditulis oleh naruse tanggal 2023-11-12
Ruby 3.3.0-preview2 Dirilis
Ditulis oleh naruse tanggal 2023-09-14
Ruby 3.3.0-preview1 Dirilis
Ditulis oleh naruse tanggal 2023-05-12
Ruby 3.2.2 Dirilis
Ruby 3.2.2 telah dirilis.
Ditulis oleh naruse tanggal 2023-03-30