由 hsbt 發表於 2024-04-23
翻譯: Bear Su
我們發布了 Ruby 版本 3.0.7、3.1.5、3.2.4 和 3.3.1,對 Regex 搜尋中的任意記憶體位址讀取漏洞進行了安全性修復。 該漏洞的 CVE 編號為 CVE-2024-27282。
風險細節
在 Ruby 3.x 至 3.3.0 中發現了一個問題。
如果將攻擊者提供的資料給 Ruby 的 Regex 編譯器,可能會被提取出相對於文字開頭的任意堆疊中的資料,包括指標與機敏字串。
建議行動
我們建議升級 Ruby 至 3.3.1 或更新版本。為了確保相容於 Ruby 舊版本,您可以按照以下方式進行升級:
- Ruby 3.0: 升級至 3.0.7
- Ruby 3.1: 升級至 3.1.5
- Ruby 3.2: 升級至 3.2.4
- Ruby 3.3: 升級至 3.3.1
受影響版本
- Ruby 3.0.6 及更早版本
- Ruby 3.1.4 及更早版本
- Ruby 3.2.3 及更早版本
- Ruby 3.3.0
致謝
感謝 sp2ip 發現此問題。
歷史
- 最初發佈於 2024-04-23 10:00:00 (UTC)