CVE-2022-28738: Double free в компіляції Regexp

Опублікував mame 12-04-2022
Переклав: Andrii Furmanets

Була виявлена вразливість double-free в компіляції Regexp. Цій вразливості присвоєно ідентифікатор CVE CVE-2022-28738. Ми настійно рекомендуємо оновити Ruby.

Деталі

Через помилку в процесі компіляції Regexp, створення об’єкта Regexp зі сконструйованим вихідним рядком могло спричинити звільнення тієї самої пам’яті двічі. Це відомо як вразливість “double free”. Зауважте, що загалом вважається небезпечним створювати та використовувати об’єкт Regexp, згенерований з ненадійного вводу. У цьому випадку, однак, після комплексної оцінки, ми розглядаємо цю проблему як вразливість.

Будь ласка, оновіть Ruby до 3.0.4, або 3.1.2.

Зачеплені версії

• ruby 3.0.3 або раніше
• ruby 3.1.1 або раніше

Зауважте, що серії ruby 2.6 та 2.7 не зачеплені.

Подяка

Дякую piao за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2022-04-12 12:00:00 (UTC)