CVE-2022-28739: Pufferüberlauf bei der String-zu-Float-Konvertierung

Gepostet von mame am 12. April 2022

Eine Pufferüberlauf-Schwachstelle wurde in einem Konvertierungsalgorithmus von String zu Float entdeckt. Diese Schwachstelle wurde unter der CVE-Kennung CVE-2022-28739 zugewiesen. Wir empfehlen dringend, Ruby zu aktualisieren.

Details

Aufgrund eines Fehlers in einer internen Funktion, die einen String in einen Float konvertiert, konnten einige Konvertierungsmethoden wie Kernel#Float und String#to_f einen Puffer-Überlesefehler verursachen. Eine typische Folge ist ein Prozessabbruch aufgrund eines Segmentierungsfehlers, aber unter begrenzten Umständen kann dies für illegales Lesen von Speicher ausnutzbar sein.

Bitte aktualisieren Sie Ruby auf Version 2.6.10, 2.7.6, 3.0.4 oder 3.1.2.

Betroffene Versionen

• Ruby 2.6.9 oder früher
• Ruby 2.7.5 oder früher
• Ruby 3.0.3 oder früher
• Ruby 3.1.1 oder früher

Credits

Vielen Dank an piao für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2022-04-12 12:00:00 (UTC)