Обновление Ruby 2.4.2 с устранением уязвимостей

15 сентября 2017 года

Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости:

  • CVE-2017-14064 - утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом;
  • CVE-2017-14033 - крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL::ASN1;
  • CVE-2017-10784 - возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале);
  • CVE-2017-0898 - возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.

Источники править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление Ruby 2.4.2 с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.