CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性

Posted by hsbt on 23 Apr 2024
Translated by HiroyasuTawara

正規表現検索における任意のメモリアドレス読み取りの脆弱性に対するセキュリティ修正が施されたRuby バージョン 3.0.7、3.1.5、3.2.4、および 3.3.1 をリリースしました。この脆弱性はCVE-2024-27282として登録されています

詳細

Ruby 3.x から 3.3.0 で問題が見つかりました。

攻撃者から与えられたデータを Ruby 正規表現コンパイラが受け取った場合、ポインタや機密文字列を含む、テキストの先頭からの相対アドレス上の任意のヒープデータを抽出することが可能になります。

推奨する対応

Rubyを3.3.1以降にアップデートすることを推奨します。古い系列の Ruby バージョンとの互換性を確保するためには、以下のようにアップデートできます：

• Ruby 3.0: Ruby を 3.0.7 にアップデート
• Ruby 3.1: Ruby を 3.1.5 にアップデート
• Ruby 3.2: Ruby を 3.2.4 にアップデート
• Ruby 3.3: Ruby を 3.3.1 にアップデート

影響を受けるバージョン

• Ruby 3.0.6 以前
• Ruby 3.1.4 以前
• Ruby 3.2.3 以前
• Ruby 3.3.0

クレジット

この脆弱性情報は、 sp2ip氏によって報告されました。

更新履歴

• 2024-04-23 19:00:00 (JST) 初版