Au fost generate versiuni corective ale limbajului de programare Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, în care două vulnerabilități sunt eliminate:
- CVE-2022-28738 este un cod de compilare cu expresii regulate dublu liber, care apare atunci când un șir creat este transmis la crearea unui obiect Regexp. Vulnerabilitatea poate fi exploatată prin utilizarea datelor externe neîncrezătoare într-un obiect Regexp.
- CVE-2022-28739 - Buffer overflow în codul de conversie string-to-float. Vulnerabilitatea ar putea fi exploatată pentru a obține acces la conținutul memoriei atunci când procesează date externe nesigure în metode precum Kernel#Float și String#to_f.
Sursa: opennet.ru