Ruby プログラミング言語 3.1.2、3.0.4、2.7.6、2.6.10 の修正リリースが生成され、次の XNUMX つの脆弱性が排除されました。
- CVE-2022-28738 は、正規表現コンパイル コードの二重解放であり、Regexp オブジェクトの作成時に細工された文字列が渡されると発生します。 この脆弱性は、Regexp オブジェクトで信頼できない外部データを使用することによって悪用される可能性があります。
- CVE-2022-28739 - 文字列から浮動小数点数への変換コードにおけるバッファ オーバーフロー。 この脆弱性は、Kernel#Float や String#to_f などのメソッドで信頼できない外部データを処理する際に、メモリ内容にアクセスするために悪用される可能性があります。
出所: オープンネット.ru