Переповнення купи в String (CVE-2009-4124)

Опублікував Yugui 07-12-2009
Переклав: Andrii Furmanets

Є вразливість переповнення купи в String#ljust, String#center та String#rjust. Це дозволило зловмиснику запускати довільний код у деяких рідкісних випадках.

CVE-2009-4124

Вразливі версії

Всі випуски Ruby 1.9.1.

Ця вразливість не впливає на серію Ruby 1.8.

Рішення

Будь ласка, оновіться до Ruby 1.9.1-p376.

<URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.bz2>

Подяка

Подяка Emmanouel Kellinis, KPMG London за розкриття проблеми команді безпеки Ruby.

Зміни

2009-12-07 14:52 +0900 додано посилання на CVE (але ще не відкрито, коли писався цей документ)

Останні новини

Вийшов Ruby 4.0.0

Ми раді повідомити про випуск Ruby 4.0.0. Ruby 4.0 представляє “Ruby Box” та “ZJIT”, а також додає багато покращень.

Опублікував naruse 25-12-2025

Новий вигляд документації Ruby

Слідом за ре-дизайном ruby-lang.org, ми маємо більше новин, щоб відсвяткувати 30-річчя Ruby: docs.ruby-lang.org має повністю новий вигляд завдяки Aliki — новій темі за замовчуванням для...

Опублікував Stan Lo 23-12-2025

Оновлення айдентики нашого сайту

Раді оголосити про комплексне оновлення нашого сайту. Дизайн для цього оновлення створила Taeko Akatsuka.

Опублікував Hiroshi SHIBATA 22-12-2025

Вийшов Ruby 4.0.0 preview3

Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.

Опублікував naruse 18-12-2025

Більше новин...

Новини