PT-2022-2610 · Ruby+8 · Ruby+8

Piao

·

Publicado

2022-04-12

·

Atualizado

2025-12-12

·

CVE-2022-28738

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Ruby 3.0.0 a 3.0.3
Versões do Ruby 3.1.0 a 3.1.1
Descrição
Foi detectada uma liberação dupla de memória no compilador Regexp. Se uma vítima tentar criar uma expressão regular (Regexp) a partir de entradas de usuário não confiáveis, um invasor poderá gravar em locais de memória inesperados. O problema está relacionado à implementação da classe Regexp e pode levar a uma negação de serviço (DoS) por meio de objetos Regexp especialmente criados.
Recomendações
Para as versões 3.0.0 a 3.0.3 do Ruby, atualize para a versão 3.0.4 ou posterior.
Para as versões 3.1.0 a 3.1.1 do Ruby, atualize para a versão 3.1.2 ou posterior.
Como solução temporária, considere restringir a criação de objetos Regexp a partir de entradas de usuários não confiáveis até que um patch esteja disponível.

Exploit

Correção

Buffer Overflow

Double Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-119CWE-415

Identificadores relacionados

ALSA-2022:6450
ALSA-2022:6585
ALT-PU-2022-2026
ALT-PU-2022-2699
ALT-PU-2022-2953
ALT-PU-2023-4264
ALT-PU-2024-7811
BDU:2022-03068
BIT-RUBY-2022-28738
BIT-RUBY-MIN-2022-28738
CESA-2022_6450
CVE-2022-28738
MGASA-2022-0143
OESA-2022-1700
OPENSUSE-SU-2024:12006-1
OPENSUSE-SU-2024:12712-1
OPENSUSE-SU-2024:13623-1
OPENSUSE-SU-2025:14621-1
OPENSUSE-SU-2025:15819-1
RHSA-2022:6450
RHSA-2022:6585
RHSA-2022:6855
RHSA-2022_6450
RHSA-2022_6585
RLSA-2022:6450
RLSA-2022:6585
USN-5462-1

Produtos afetados

Alt Linux
Almalinux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Ruby
Ubuntu