PT-2024-3335 · Ruby+7 · Ruby+7
Sp2Ip
·
Publicado
2024-04-23
·
Atualizado
2025-09-03
·
CVE-2024-27282
CVSS v3.1
6.6
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Ruby 3.0.0 a 3.3.0
Descrição
O problema está relacionado a um estouro de buffer na pilha do interpretador da linguagem de programação Ruby. Isso permite que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. Se dados fornecidos pelo invasor forem passados ao compilador de expressões regulares do Ruby, é possível extrair dados arbitrários da pilha relativos ao início do texto, incluindo ponteiros e strings confidenciais.
Recomendações
Para as versões do Ruby 3.0.0 a 3.0.6, atualize para a versão 3.0.7.
Para as versões do Ruby 3.1.0 a 3.1.4, atualize para a versão 3.1.5.
Para as versões do Ruby 3.2.0 a 3.2.3, atualize para a versão 3.2.4.
Para as versões 3.3.0 do Ruby, atualize para a versão 3.3.1.
Como solução temporária, considere restringir o uso do compilador de expressões regulares do Ruby com dados fornecidos pelo invasor até que um patch seja aplicado.
Correção
Out of bounds Read
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Ruby
Ubuntu