ALT-PU-2022-6874-1

Серьёзность:

Закрытые проблемы (4)

BDU:2022-03067

HIGH7.5

Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2022-05-23Изменено: 2025-03-21

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:M/Au:N/C:C/I:N/A:N

Ссылки

CVE-2022-28739

BDU:2022-03068

MEDIUM6.2

Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2022-05-23Изменено: 2024-09-12

CVSS 3.xСРЕДНЯЯ 6.2

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS 2.0СРЕДНЯЯ 4.9

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:C/A:N

Ссылки

CVE-2022-28738

CVE-2022-28738

CRITICAL9.8

A double free was found in the Regexp compiler in Ruby 3.x before 3.0.4 and 3.1.x before 3.1.2. If a victim attempts to create a Regexp from untrusted user input, an attacker may be able to write to unexpected memory locations.

Опубликовано: 2022-05-09Изменено: 2024-11-21

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2022-28739

HIGH7.5

There is a buffer over-read in Ruby before 2.6.10, 2.7.x before 2.7.6, 3.x before 3.0.4, and 3.1.x before 3.1.2. It occurs in String-to-Float conversion, including Kernel#Float and String#to_f.

Опубликовано: 2022-05-09Изменено: 2025-11-04

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

Закрытые ошибки (1)

Ошибка #43110

Обновление пакета ruby в ветке sisyphus_riscv64

Закрытые проблемы (4)

Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

A double free was found in the Regexp compiler in Ruby 3.x before 3.0.4 and 3.1.x before 3.1.2. If a victim attempts to create a Regexp from untrusted user input, an attacker may be able to write to unexpected memory locations.

There is a buffer over-read in Ruby before 2.6.10, 2.7.x before 2.7.6, 3.x before 3.0.4, and 3.1.x before 3.1.2. It occurs in String-to-Float conversion, including Kernel#Float and String#to_f.

Закрытые ошибки (1)

Gem::LoadError: You have already activated bundler 2.2.19, but your Gemfile requires bundler 2.1.4.