Er zijn corrigerende releases van de Ruby-programmeertaal 3.1.2, 3.0.4, 2.7.6, 2.6.10 gegenereerd, waarin twee kwetsbaarheden zijn geëlimineerd:
- CVE-2022-28738 is een dubbelvrije compilatiecode in reguliere expressies die optreedt wanneer een vervaardigde tekenreeks wordt doorgegeven bij het maken van een Regexp-object. Het beveiligingslek kan worden misbruikt door niet-vertrouwde externe gegevens in een Regexp-object te gebruiken.
- CVE-2022-28739 - Bufferoverloop in de string-naar-float-conversiecode. Het beveiligingslek kan mogelijk worden misbruikt om toegang te krijgen tot de geheugeninhoud bij het verwerken van niet-vertrouwde externe gegevens in methoden zoals Kernel#Float en String#to_f.
Bron: opennet.ru