Сформовано коригувальні релізи мови програмування Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, у яких усунуто дві вразливості:
- CVE-2022-28738 - подвійне звільнення пам'яті (double-free) у коді компіляції регулярних виразів, що виникає при передачі спеціально оформленого рядка при створенні об'єкта Regexp. Вразливість може бути експлуатована при використанні в об'єкті Regexp неперевірених зовнішніх даних.
- CVE-2022-28739 - переповнення буфера в коді перетворення з рядка в число з плаваючою комою. Потенційно вразливість може бути експлуатована для отримання доступу до вмісту пам'яті під час обробки неперевірених зовнішніх даних у таких методах як Kernel#Float та String#to_f.
Джерело: opennet.ru