生成了 Ruby 编程语言 3.1.2、3.0.4、2.7.6、2.6.10 的修正版本,其中消除了两个漏洞:
- CVE-2022-28738 是正则表达式编译代码中的双重释放,在创建 Regexp 对象时传递精心设计的字符串时会发生此问题。 可通过在 Regexp 对象中使用不受信任的外部数据来利用该漏洞。
- CVE-2022-28739 - 字符串到浮点转换代码中的缓冲区溢出。 在 Kernel#Float 和 String#to_f 等方法中处理不受信任的外部数据时,可能会利用该漏洞来访问内存内容。
来源: opennet.ru