Se han formado releases correctivos del lenguaje de programación Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, en los que se han eliminado dos vulnerabilidades:
- CVE-2022-28738: liberación de memoria doble libre (doble libre) en el código de compilación de expresiones regulares que se produce al pasar una cadena especialmente diseñada al crear un objeto Regexp. La vulnerabilidad se puede aprovechar si se utilizan datos externos no validados en el objeto Regexp.
- CVE-2022-28739: desbordamiento de búfer en código de conversión de cadena a flotante. La vulnerabilidad podría explotarse potencialmente para obtener acceso al contenido de la memoria al manipular datos externos no verificados en métodos como Kernel#Float y String#to_f.
Fuente: opennet.ru