CVE-2024-27282: 使用 Regex 搜索时任意内存地址读取漏洞

由 hsbt 于 2024 年 4 月 23 日发布

我们已发布 Ruby 3.0.7、3.1.5、3.2.4 和 3.3.1 版本，这些版本包含对 Regex 搜索中任意内存地址读取漏洞的安全修复。该漏洞已被分配 CVE 标识符 CVE-2024-27282。

详情

在Ruby 3.x 到 3.3.0 版本中发现了一个问题。

如果攻击者提供的数据被传递给Ruby正则表达式编译器，则有可能读取文本起始位置附近的任意堆内存数据，包括指针和敏感字符串。

建议操作

我们建议将Ruby更新到3.3.1或更高版本。为了确保与旧版Ruby系列兼容，您也可以如下更新：

• 对于Ruby 3.0用户：更新到3.0.7
• 对于Ruby 3.1用户：更新到3.1.5
• 对于Ruby 3.2用户：更新到3.2.4
• 对于Ruby 3.3用户：更新到3.3.1

受影响的版本

• Ruby 3.0.6 或更低版本
• Ruby 3.1.4 或更低版本
• Ruby 3.2.3 或更低版本
• Ruby 3.3.0

致谢

感谢 sp2ip 发现此问题。

历史

• 首次发布于 2024-04-23 10:00:00 (UTC)