Έχουν δημιουργηθεί διορθωτικές εκδόσεις της γλώσσας προγραμματισμού Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, στις οποίες έχουν εξαλειφθεί δύο ευπάθειες:
- CVE-2022-28738 - Διπλή ελεύθερη μνήμη (double-free) σε κώδικα μεταγλώττισης κανονικών εκφράσεων που εμφανίζεται κατά τη διέλευση μιας ειδικά κατασκευασμένης συμβολοσειράς κατά τη δημιουργία ενός αντικειμένου Regexp. Η ευπάθεια μπορεί να αξιοποιηθεί εάν χρησιμοποιούνται μη επικυρωμένα εξωτερικά δεδομένα στο αντικείμενο Regexp.
- CVE-2022-28739 - Υπερχείλιση buffer σε συμβολοσειρά σε float κώδικα μετατροπής. Η ευπάθεια θα μπορούσε ενδεχομένως να αξιοποιηθεί για να αποκτήσει πρόσβαση στα περιεχόμενα της μνήμης κατά το χειρισμό μη επαληθευμένων εξωτερικών δεδομένων σε μεθόδους όπως ο Kernel#Float και το String#to_f.
Πηγή: opennet.ru