CVE-2017-0898: Вразливість недоповнення буфера в Kernel.sprintf

Опублікував usa 14-09-2017
Переклав: Andrii Furmanets

Є вразливість недоповнення буфера в методі sprintf модуля Kernel. Цій вразливості присвоєно ідентифікатор CVE CVE-2017-0898.

Деталі

Якщо передано зловмисний рядок формату, який містить коштовний специфікатор (*), та також передано величезне від’ємне значення до специфікатора, може виникнути недоповнення буфера. У такій ситуації результат може містити купу, або інтерпретатор Ruby може аварійно завершити роботу.

Всі користувачі, які запускають зачеплений випуск, повинні оновитися негайно.

Зачеплені версії

• Серія Ruby 2.2: 2.2.7 та раніше
• Серія Ruby 2.3: 2.3.4 та раніше
• Серія Ruby 2.4: 2.4.1 та раніше
• до ревізії trunk 58453

Подяка

Дякуємо aerodudrizzt за повідомлення про цю проблему.

Історія

• Спочатку опубліковано 2017-09-14 12:00:00 (UTC)