Обновление Ruby 2.4.2 с устранением уязвимостей
Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости:
- CVE-2017–14064 — утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом;
- CVE-2017–14033 — крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL: ASN1;
- CVE-2017–10784 — возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале);
- CVE-2017–0898 — возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.
© OpenNet
