CVE-2022-28739: String から Float 変換時のバッファオーバーラン
Posted by mame on 12 Apr 2022
Translated by jinroq
String から Float への変換アルゴリズムに、バッファオーバーランの脆弱性が発見されました。 この脆弱性は、CVE-2022-28739 として登録されています。 Ruby をアップグレードすることを強く推奨します。
詳細
String を Float に変換する内部関数のバグにより、Kernel#Float や String#to_f などの一部の変換メソッドでバッファのオーバーリードが発生する可能性があります。
典型的な結果はセグメンテーションフォールトによるプロセス終了ですが、限られた状況下では、不正なメモリ読み出しに悪用される可能性があります。
Ruby を 2.6.10、2.7.6、3.0.4、3.1.2 にアップデートしてください。
影響を受けるバージョン
- ruby 2.6.9 以前
- ruby 2.7.5 以前
- ruby 3.0.3 以前
- ruby 3.1.1 以前
クレジット
この脆弱性情報は、piao 氏によって報告されました。
更新履歴
- 2022-04-12 21:00:00 (JST) 初版
最近のニュース
Ruby 4.0.2 リリース
Ruby 4.0.2 がリリースされました。
Posted by k0kubun on 16 Mar 2026
Ruby 3.4.9 リリース
Ruby 3.4.9 がリリースされました。
Posted by nagachika on 11 Mar 2026
関西Ruby会議09の参加登録が開始されました
日本Rubyの会が後援する、地域Ruby会議(RegionalRubyKaigi)の1つである関西Ruby会議09の参加登録が開始されました。
Posted by Yudai Takada(@ydah) on 3 Mar 2026
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025