เวอร์ชันแก้ไขของภาษาโปรแกรม Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 ถูกสร้างขึ้น โดยมีช่องโหว่ XNUMX รายการที่ถูกกำจัด:
- CVE-2022-28738 เป็นโค้ดคอมไพล์นิพจน์ทั่วไปที่ปราศจากสองเท่าซึ่งเกิดขึ้นเมื่อส่งสตริงที่สร้างขึ้นเมื่อสร้างวัตถุ Regexp สามารถโจมตีช่องโหว่ได้โดยใช้ข้อมูลภายนอกที่ไม่น่าเชื่อถือในวัตถุ Regexp
- CVE-2022-28739 - บัฟเฟอร์ล้นในโค้ดการแปลงสตริงเป็นโฟลต ช่องโหว่อาจถูกโจมตีเพื่อเข้าถึงเนื้อหาหน่วยความจำเมื่อประมวลผลข้อมูลภายนอกที่ไม่น่าเชื่อถือด้วยวิธีการเช่น Kernel#Float และ String#to_f
ที่มา: opennet.ru