CVE-2024-27282: Вразливість читання довільної адреси пам'яті з пошуком Regex
Опублікував hsbt 23-04-2024
Переклав: Andrii Furmanets
Ми випустили версії Ruby 3.0.7, 3.1.5, 3.2.4 та 3.3.1, які мають виправлення безпеки для уразливості читання довільної адреси пам’яті в пошуку Regex. Цій уразливості присвоєно ідентифікатор CVE CVE-2024-27282.
Деталі
Проблему виявлено в Ruby 3.x через 3.3.0.
Якщо дані, надані зловмисником, передаються до компілятора regex Ruby, можливо витягти довільні дані купи відносно початку тексту, включаючи вказівники та чутливі рядки.
Рекомендована дія
Ми рекомендуємо оновити Ruby до версії 3.3.1 або пізнішої. Щоб забезпечити сумісність зі старішими серіями Ruby, ви можете оновити наступним чином:
- Для користувачів Ruby 3.0: Оновіть до 3.0.7
- Для користувачів Ruby 3.1: Оновіть до 3.1.5
- Для користувачів Ruby 3.2: Оновіть до 3.2.4
- Для користувачів Ruby 3.3: Оновіть до 3.3.1
Зачеплені версії
- Ruby 3.0.6 або нижчі
- Ruby 3.1.4 або нижчі
- Ruby 3.2.3 або нижчі
- Ruby 3.3.0
Подяки
Дякуємо sp2ip за виявлення цієї проблеми.
Історія
- Оригінально опубліковано 2024-04-23 10:00:00 (UTC)
Останні новини
Вийшов Ruby 4.0.5
Вийшов Ruby 4.0.5.
Опублікував k0kubun 20-05-2026
Вийшов Ruby 4.0.4
Вийшов Ruby 4.0.4.
Опублікував k0kubun 11-05-2026
Вийшов Ruby 4.0.3
Вийшов Ruby 4.0.3.
Опублікував k0kubun 21-04-2026
Вийшов Ruby 3.2.11
Вийшов Ruby 3.2.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820.
Опублікував hsbt 27-03-2026