由 hsbt 发表于 2024-04-23
翻译： GAO Jun

我们发布了 Ruby 3.0.7，3.1.5，3.2.4 和 3.3.1，其中包含了 Regex 搜索中的任意地址读取漏洞的补丁。 此漏洞的 CVE 编号为 CVE-2024-27282。

详情

在 Ruby 3.x 至 3.3.0 中发现了一个问题。

如果将攻击者提供的特定数据提供给 Ruby 的正则表达式编译器，则可能提取与文本开始相关的任意堆数据，包括指针和敏感字符串。

建议操作

我们建议将 Ruby 更新到 3.3.1 或后续版本。为确保与旧版 Ruby 兼容，您可以按照下面的方式进行更新：

• Ruby 3.0：更新至 3.0.7
• Ruby 3.1：更新至 3.1.5
• Ruby 3.2：更新至 3.2.4

受影响版本

• Ruby 3.0.6 或更低版本
• Ruby 3.1.4 或更低版本
• Ruby 3.2.3 或更低版本
• Ruby 3.3.0

致谢

感谢 sp2ip 发现此问题。

历史

• 最初发布于 2024-04-23 10:00:00 (UTC)

订阅

最新消息（RSS）