Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости:
- CVE-2017-14064 - утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом;
- CVE-2017-14033 - крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL::ASN1;
- CVE-2017-10784 - возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале);
- CVE-2017-0898 - возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.
|