INFSA-2024:3670: Устранение уязвимостей ruby:3.3
Информация о бюллетене
Идентификатор: INFSA-2024:3670
Тип: устранение уязвимостей
Дата публикации: 2024-10-10 05:56:57 UTC
Информация о пакете
Ruby — расширяемый, интерпретируемый, объектно-ориентированный язык сценариев. Он имеет функции для обработки текстовых файлов и выполнения задач по управлению системой.
Описание уязвимостей
- CVE-2024-27280
Уязвимость методов ungetbyte и ungetc обработчика строк StringIO для языка программирования Ruby связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.
- CVE-2024-27281
Уязвимость встроенного генератора документации RDoc для языка программирования Ruby связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально сформированных файлов с расширением .rdoc_options.
- CVE-2024-27282
Уязвимость интерпретатора языка программирования Ruby связана с переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации. Улучшения * Пакет ruby (3.3) обновлён до последней версии.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2024-27280
|
нет информации | 3.1 | нет информации |
|
NIST — CVE-2024-27281
|
нет информации | 4.5 | нет информации |
|
NIST — CVE-2024-27282
|
нет информации | 6.6 | нет информации |
Обновлённые пакеты