CVE-2022-28739:字符串到浮点数转换中的缓冲区溢出

在字符串到浮点数的转换算法中发现了一个缓冲区溢出漏洞。此漏洞已被分配 CVE 标识符 CVE-2022-28739。我们强烈建议升级 Ruby。

详情

由于将字符串转换为浮点数的内部函数存在错误,某些转换方法(如 Kernel#FloatString#to_f)可能会导致缓冲区过度读取。典型的后果是由于段错误而导致进程终止,但在有限的情况下,它可能被利用进行非法内存读取。

请将 Ruby 更新到 2.6.10、2.7.6、3.0.4 或 3.1.2。

受影响的版本

  • ruby 2.6.9 或更早版本
  • ruby 2.7.5 或更早版本
  • ruby 3.0.3 或更早版本
  • ruby 3.1.1 或更早版本

鸣谢

感谢 piao 发现此问题。

历史

  • 最初发布于 2022-04-12 12:00:00 (UTC)