CVE-2024-27280: Вразливість перечитання буфера в StringIO

Опублікував hsbt 21-03-2024
Переклав: Andrii Furmanets

Ми випустили версії gem StringIO 3.0.1.1 та 3.0.1.2, які мають виправлення безпеки для уразливості перечитання буфера. Цій уразливості присвоєно ідентифікатор CVE CVE-2024-27280.

Деталі

Проблему виявлено в StringIO 3.0.1, як розповсюджується в Ruby 3.0.x через 3.0.6 та 3.1.x через 3.1.4.

Методи ungetbyte та ungetc на StringIO можуть читати за межами рядка, і наступний виклик StringIO.gets може повернути значення пам’яті.

Ця уразливість не стосується StringIO 3.0.3 та пізніших, і Ruby 3.2.x та пізніших.

Рекомендована дія

Ми рекомендуємо оновити gem StringIO до версії 3.0.3 або пізнішої. Щоб забезпечити сумісність з bundled версією в старіших серіях Ruby, ви можете оновити наступним чином:

• Для користувачів Ruby 3.0: Оновіть до stringio 3.0.1.1
• Для користувачів Ruby 3.1: Оновіть до stringio 3.0.1.2

Примітка: StringIO 3.0.1.2 містить не лише виправлення цієї уразливості, але також виправлення помилки для [Bug #19389].

Ви можете використовувати gem update stringio для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "stringio", ">= 3.0.1.2" до вашого Gemfile.

Зачеплені версії

• Ruby 3.0.6 або нижчі
• Ruby 3.1.4 або нижчі
• Gem StringIO 3.0.1 або нижчі

Подяки

Дякуємо david_h1 за виявлення цієї проблеми.

Історія

• Виправлено зачеплену версію StringIO (3.0.2 -> 3.0.1) 2024-04-11 12:50:00 (UTC)
• Оригінально опубліковано 2024-03-21 4:00:00 (UTC)