Sono state generate versioni correttive del linguaggio di programmazione Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, in cui sono state eliminate due vulnerabilità:
- CVE-2022-28738 è un codice di compilazione di espressioni regolari double-free che si verifica quando viene passata una stringa creata durante la creazione di un oggetto Regexp. La vulnerabilità può essere sfruttata utilizzando dati esterni non attendibili in un oggetto Regexp.
- CVE-2022-28739 - Overflow del buffer nel codice di conversione da stringa a float. La vulnerabilità potrebbe essere potenzialmente sfruttata per ottenere l'accesso al contenuto della memoria durante l'elaborazione di dati esterni non attendibili in metodi come Kernel#Float e String#to_f.
Fonte: opennet.ru