產生了 Ruby 程式語言 3.1.2、3.0.4、2.7.6、2.6.10 的修正版本,其中消除了兩個漏洞:
- CVE-2022-28738 是正規表示式編譯程式碼中的雙重釋放,在建立 Regexp 物件時傳遞精心設計的字串時會發生此問題。 可透過在 Regexp 物件中使用不受信任的外部資料來利用該漏洞。
- CVE-2022-28739 - 字串到浮點轉換程式碼中的緩衝區溢位。 在 Kernel#Float 和 String#to_f 等方法中處理不受信任的外部資料時,可能會利用該漏洞來存取記憶體內容。
來源: opennet.ru