PT-2020-2439 · Ruby+7 · Ruby+7
Samuel Williams
·
Publicado
2020-03-31
·
Atualizado
2025-12-12
·
CVE-2020-10933
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ruby 2.5.x a 2.5.7
Versões do Ruby 2.6.x a 2.6.5
Versão 2.7.0 do Ruby
Descrição
Um problema no Ruby pode expor dados possivelmente confidenciais do interpretador. Isso ocorre quando o método
BasicSocket#read nonblock é chamado com o parâmetro exception: false, fazendo com que o buffer seja redimensionado sem copiar dados, revelando assim o valor anterior da pilha. A vulnerabilidade está relacionada à falta de proteção de dados internos e pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.Recomendações
Para as versões 2.5.x a 2.5.7 do Ruby, considere desativar a função
BasicSocket#read nonblock até que um patch esteja disponível.Para as versões 2.6.x a 2.6.5 do Ruby, considere desativar a função
BasicSocket#read nonblock até que um patch esteja disponível.Para a versão 2.7.0 do Ruby, considere desativar a função
BasicSocket#read nonblock até que uma correção esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Information Disclosure
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Linuxmint
Red Hat
Rocky Linux
Ruby
Suse
Ubuntu