CVE-2024-27282: Вразливість читання довільної адреси пам'яті з пошуком Regex
Опублікував hsbt 23-04-2024
Переклав: Andrii Furmanets
Ми випустили версії Ruby 3.0.7, 3.1.5, 3.2.4 та 3.3.1, які мають виправлення безпеки для уразливості читання довільної адреси пам’яті в пошуку Regex. Цій уразливості присвоєно ідентифікатор CVE CVE-2024-27282.
Деталі
Проблему виявлено в Ruby 3.x через 3.3.0.
Якщо дані, надані зловмисником, передаються до компілятора regex Ruby, можливо витягти довільні дані купи відносно початку тексту, включаючи вказівники та чутливі рядки.
Рекомендована дія
Ми рекомендуємо оновити Ruby до версії 3.3.1 або пізнішої. Щоб забезпечити сумісність зі старішими серіями Ruby, ви можете оновити наступним чином:
- Для користувачів Ruby 3.0: Оновіть до 3.0.7
- Для користувачів Ruby 3.1: Оновіть до 3.1.5
- Для користувачів Ruby 3.2: Оновіть до 3.2.4
- Для користувачів Ruby 3.3: Оновіть до 3.3.1
Зачеплені версії
- Ruby 3.0.6 або нижчі
- Ruby 3.1.4 або нижчі
- Ruby 3.2.3 або нижчі
- Ruby 3.3.0
Подяки
Дякуємо sp2ip за виявлення цієї проблеми.
Історія
- Оригінально опубліковано 2024-04-23 10:00:00 (UTC)
Останні новини
Вийшов Ruby 3.2.10
Вийшов Ruby 3.2.10.
Опублікував hsbt 14-01-2026
Вийшов Ruby 4.0.1
Вийшов Ruby 4.0.1.
Опублікував k0kubun 13-01-2026
Вийшов Ruby 4.0.0
Ми раді повідомити про випуск Ruby 4.0.0. Ruby 4.0 представляє “Ruby Box” та “ZJIT”, а також додає багато покращень.
Опублікував naruse 25-12-2025
Новий вигляд документації Ruby
Слідом за ре-дизайном ruby-lang.org, ми маємо більше новин, щоб відсвяткувати 30-річчя Ruby: docs.ruby-lang.org має повністю новий вигляд завдяки Aliki — новій темі за замовчуванням для...
Опублікував Stan Lo 23-12-2025