రూబీ 3.1.2, 3.0.4, 2.7.6, 2.6.10 ప్రోగ్రామింగ్ లాంగ్వేజ్ యొక్క దిద్దుబాటు విడుదలలు రూపొందించబడ్డాయి, ఇందులో రెండు దుర్బలత్వాలు తొలగించబడ్డాయి:
- CVE-2022-28738 - రెగ్యులర్ ఎక్స్ప్రెషన్ కంపైలేషన్ కోడ్లో డబుల్-ఫ్రీ మెమరీ (డబుల్-ఫ్రీ), ఇది Regexp ఆబ్జెక్ట్ను సృష్టించేటప్పుడు ప్రత్యేకంగా రూపొందించిన స్ట్రింగ్ను దాటినప్పుడు సంభవిస్తుంది. Regexp ఆబ్జెక్ట్లో చెల్లుబాటు కాని బాహ్య డేటా ఉపయోగించబడితే, దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు.
- CVE-2022-28739 - ఫ్లోట్ కన్వర్షన్ కోడ్ కోసం స్ట్రింగ్లో బఫర్ ఓవర్ఫ్లో. Kernel#Float మరియు String#to_f వంటి పద్ధతులలో ధృవీకరించబడని బాహ్య డేటాను నిర్వహించేటప్పుడు మెమరీలోని కంటెంట్లకు ప్రాప్యతను పొందేందుకు దుర్బలత్వం సమర్థవంతంగా ఉపయోగించబడవచ్చు.
మూలం: opennet.ru