Korrekturen für die Programmiersprache Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 wurden veröffentlicht, die zwei Sicherheitsanfälligkeiten beheben:
- CVE-2022-28738 — doppelte Speicherfreigabe (double-free) im Code zur Kompilierung regulärer Ausdrücke, die auftritt, wenn ein speziell formatierter String beim Erstellen eines Regexp-Objekts übergeben wird. Die Sicherheitsanfälligkeit kann ausgenutzt werden, wenn unüberprüfte externe Daten im Regexp-Objekt verwendet werden.
- CVE-2022-28739 — Pufferüberlauf im Code zur Umwandlung von Strings in Gleitkommazahlen. Diese Sicherheitsanfälligkeit kann potenziell ausgenutzt werden, um auf den Inhalt des Speichers zuzugreifen, wenn unüberprüfte externe Daten in Methoden wie Kernel#Float und String#to_f verarbeitet werden.
Quelle: opennet.ru
