CVE-2017-0898: Vulnerabilidade de buffer underrun em Kernel.sprintf

Escrito por usa em 14/09/2017
Traduzido por jcserracampos

Existe uma vulnerabilidade de buffer underrun no método sprintf do módulo Kernel. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-0898.

Detalhes

Se uma string formatada maliciosamente contendo um especificador (*) for passada e um valor negativo enorme também for passado para o especificador, poderá causar buffer underrun. Nessa situação, o resultado poderá conter heap de memória ou o interpretador Ruby poderá parar.

Todos os usuários rodando uma versão com essa vulnerabilidade devem atualizá-la imediatamente.

Versões Afetadas

• Série Ruby 2.2: 2.2.7 e anteriores
• Série Ruby 2.3: 2.3.4 e anteriores
• Série Ruby 2.4: 2.4.1 e anteriores
• anterior à revisão de árvore 58453

Créditos

Obrigado aerodudrizzt por reportar este problema.

Histórico

• Originalmente publicado em 14 de setembro de 2017 12:00:00 (UTC)