CVE-2022-28739: String から Float 変換時のバッファオーバーラン
Posted by mame on 12 Apr 2022
Translated by jinroq
String から Float への変換アルゴリズムに、バッファオーバーランの脆弱性が発見されました。 この脆弱性は、CVE-2022-28739 として登録されています。 Ruby をアップグレードすることを強く推奨します。
詳細
String を Float に変換する内部関数のバグにより、Kernel#Float や String#to_f などの一部の変換メソッドでバッファのオーバーリードが発生する可能性があります。
典型的な結果はセグメンテーションフォールトによるプロセス終了ですが、限られた状況下では、不正なメモリ読み出しに悪用される可能性があります。
Ruby を 2.6.10、2.7.6、3.0.4、3.1.2 にアップデートしてください。
影響を受けるバージョン
- ruby 2.6.9 以前
- ruby 2.7.5 以前
- ruby 3.0.3 以前
- ruby 3.1.1 以前
クレジット
この脆弱性情報は、piao 氏によって報告されました。
更新履歴
- 2022-04-12 21:00:00 (JST) 初版
最近のニュース
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025
サイトのアイデンティティの再設計
サイトの包括的なデザインのアップデートを発表できることを嬉しく思います。今回の更新ではTaeko Akatsukaさんにデザインを担当していただきました。
Posted by Hiroshi SHIBATA on 22 Dec 2025
Ruby 4.0.0 preview3 リリース
Ruby 4.0.0-preview3 が公開されました。
Posted by naruse on 18 Dec 2025
Ruby 4.0.0 preview2 リリース
Ruby 4.0.0-preview2 が公開されました。Ruby 4.0では、Unicodeバージョンの17.0.0へのアップデートなど様々な改善が行われています。
Posted by naruse on 17 Nov 2025