Переповнення купи в String (CVE-2009-4124)
Опублікував Yugui 07-12-2009
Переклав: Andrii Furmanets
Є вразливість переповнення купи в String#ljust,
String#center та String#rjust. Це дозволило зловмиснику запускати
довільний код у деяких рідкісних випадках.
Вразливі версії
- Всі випуски Ruby 1.9.1.
Ця вразливість не впливає на серію Ruby 1.8.
Рішення
Будь ласка, оновіться до Ruby 1.9.1-p376.
Подяка
Подяка Emmanouel Kellinis, KPMG London за розкриття проблеми команді безпеки Ruby.
Зміни
- 2009-12-07 14:52 +0900 додано посилання на CVE (але ще не відкрито, коли писався цей документ)
Останні новини
Вийшов Ruby 3.2.10
Вийшов Ruby 3.2.10.
Опублікував hsbt 14-01-2026
Вийшов Ruby 4.0.1
Вийшов Ruby 4.0.1.
Опублікував k0kubun 13-01-2026
Вийшов Ruby 4.0.0
Ми раді повідомити про випуск Ruby 4.0.0. Ruby 4.0 представляє “Ruby Box” та “ZJIT”, а також додає багато покращень.
Опублікував naruse 25-12-2025
Новий вигляд документації Ruby
Слідом за ре-дизайном ruby-lang.org, ми маємо більше новин, щоб відсвяткувати 30-річчя Ruby: docs.ruby-lang.org має повністю новий вигляд завдяки Aliki — новій темі за замовчуванням для...
Опублікував Stan Lo 23-12-2025