Ditulis oleh mame tanggal 2022-04-12
Diterjemahkan oleh meisyal
Sebuah kerentanan buffer-overrun telah ditemukan pada algoritma konversi dari sebuah String ke Float. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2022-28739. Kami sangat merekomendasikan untuk memperbarui Ruby.
Detail
Disebabkan oleh sebuah bug pada fungsi internal yang mengonversi sebuah String
ke Float, beberapa metode konversi, seperti Kernel#Float dan String#to_f,
bisa menyebabkan buffer over-read. Konsekuensi khas dari kerentanan ini
adalah berhentinya sebuah proses karena segmentation fault. Tetapi, dalam
keadaan terbatas, kerentanan ini bisa dieksploitasi menjadi illegal memory read.
Mohon perbarui Ruby ke 2.6.10, 2.7.6, 3.0.4, atau 3.1.2.
Versi terimbas
- ruby 2.6.9 atau sebelumnya
- ruby 2.7.5 atau sebelumnya
- ruby 3.0.3 atau sebelumnya
- ruby 3.1.1 atau sebelumnya
Rujukan
Terima kasih kepada piao yang telah menemukan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2022-04-12 12:00:00 (UTC)