CVE-2022-28738: Regexp 编译中的双重释放漏洞

由 mame 于 2022 年 4 月 12 日发布

在 Regexp 编译中发现了一个双重释放漏洞。此漏洞已被分配 CVE 标识符 CVE-2022-28738。我们强烈建议升级 Ruby。

详情

由于 Regexp 编译过程中的一个错误，使用精心构造的源字符串创建 Regexp 对象可能导致同一内存被释放两次。这被称为“双重释放”漏洞。请注意，通常情况下，创建并使用来自不受信任输入的 Regexp 对象被认为是不安全的。然而，在此案例中，经过全面评估后，我们将此问题视为一个漏洞。

请将 Ruby 更新至 3.0.4 或 3.1.2。

请注意，ruby 2.6 系列和 2.7 系列不受影响。

感谢 piao 发现此问题。

我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”，并增加了许多改进。

由 naruse 发布于 2025 年 12 月 25 日

继 ruby-lang.org 重新设计之后，我们还有更多好消息来庆祝 Ruby 成立 30 周年：docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题，焕然一新。

由 Stan Lo 发布于 2025 年 12 月 23 日

我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。

由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日

我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”，并增加了许多改进。

由 naruse 发布于 2025 年 12 月 18 日