Ruby dasturlash tilining 3.1.2, 3.0.4, 2.7.6, 2.6.10 tuzatuvchi relizlari yaratildi, ularda ikkita zaiflik bartaraf etildi:
- CVE-2022-28738 Regexp ob'ektini yaratishda yaratilgan satr uzatilganda yuzaga keladigan muntazam ifoda kompilyatsiyasining ikki marta bepul kodi. Zaiflikdan Regexp obyektidagi ishonchsiz tashqi ma'lumotlardan foydalanish orqali foydalanish mumkin.
- CVE-2022-28739 - string-to-float konvertatsiya kodida bufer to'lib ketdi. Zaiflikdan Kernel#Float va String#to_f kabi usullarda ishonchsiz tashqi ma'lumotlarni qayta ishlashda xotira tarkibiga kirish uchun foydalanish mumkin.
Manba: opennet.ru