Korrektiv Verëffentlechunge vun der Ruby Programmiersprache 3.1.2, 3.0.4, 2.7.6, 2.6.10 goufen generéiert, an deenen zwee Schwachstelle eliminéiert goufen:
- CVE-2022-28738 ass en duebelfräien am regulären Ausdrock Kompiléierungscode dee geschitt wann eng erstallt String passéiert gëtt wann Dir e Regexp Objet erstellt. D'Schwachheet kann exploitéiert ginn andeems Dir net vertraute extern Donnéeën an engem Regexp Objet benotzt.
- CVE-2022-28739 - Buffer Iwwerschwemmung am String-zu-Schwemm Konversiounscode. D'Schwachheet kéint potenziell ausgenotzt ginn fir Zougang zu Erënnerungsinhalter ze kréien wann Dir net zouverlässeg extern Daten a Methoden wéi Kernel#Float a String#to_f veraarbecht.
Source: opennet.ru