Wygenerowano wydania korygujące języka programowania Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, w których wyeliminowano dwie luki:
- CVE-2022-28738 to kod kompilacji wyrażeń regularnych pozbawiony podwójnej wartości, który występuje po przekazaniu spreparowanego ciągu podczas tworzenia obiektu Regexp. Lukę można wykorzystać, wykorzystując niezaufane dane zewnętrzne w obiekcie Regexp.
- CVE-2022-28739 – Przepełnienie bufora w kodzie konwersji typu string-to-float. Lukę można potencjalnie wykorzystać w celu uzyskania dostępu do zawartości pamięci podczas przetwarzania niezaufanych danych zewnętrznych metodami takimi jak Kernel#Float i String#to_f.
Źródło: opennet.ru