CVE-2022-28739: String 到 Float 转换中的缓冲区溢出

由 mame 发表于 2022-04-12
翻译: GAO Jun

在 String 到 Float 的转换算法中发现了缓冲区溢出漏洞。此漏洞已分配 CVE 编号 CVE-2022-28739。 我们强烈建议更新 Ruby。

详情

由于将 String 转换为 Float 的内部函数中的错误,一些诸如 Kernel#FloatString#to_f 之类的转换方法可能会过度读取缓冲区。

请更新 Ruby 至 2.6.10,2.7.6,3.0.4,或 3.1.2。

受影响版本

  • ruby 2.6.9 及更早版本
  • ruby 2.7.5 及更早版本
  • ruby 3.0.3 及更早版本
  • ruby 3.1.1 及更早版本

致谢

感谢 piao 发现此问题。

历史

  • 最早发布于 2022-04-12 12:00:00 (UTC)