Byla vytvořena opravná vydání programovacího jazyka Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, ve kterých byly odstraněny dvě zranitelnosti:
- CVE-2022-28738 – Dvojité uvolnění paměti (dvojité uvolnění) v kódu kompilace regulárních výrazů, ke kterému dochází při předávání speciálně vytvořeného řetězce při vytváření objektu Regexp. Tuto chybu zabezpečení lze zneužít, pokud jsou v objektu Regexp použita neověřená externí data.
- CVE-2022-28739 - Přetečení vyrovnávací paměti v řetězci na plovoucí konverzní kód. Tato chyba zabezpečení by mohla být potenciálně zneužita k získání přístupu k obsahu paměti při manipulaci s neověřenými externími daty v metodách jako Kernel#Float a String#to_f.
Zdroj: opennet.ru