Обновление Ruby 2.4.2 с устранением уязвимостей

Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости:

  • CVE-2017-14064 — утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом;
  • CVE-2017-14033 — крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL::ASN1;
  • CVE-2017-10784 — возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале);
  • CVE-2017-0898 — возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.