CVE-2022-28738

Опубликовано: 14 апр. 2022

Источник: redhat

CVSS3: 7.7

EPSS Низкий

Описание

A double free was found in the Regexp compiler in Ruby 3.x before 3.0.4 and 3.1.x before 3.1.2. If a victim attempts to create a Regexp from untrusted user input, an attacker may be able to write to unexpected memory locations.

A double-free vulnerability was found in Ruby. The issue occurs during Regexp compilation. This flaw allows an attacker to create a Regexp object with a crafted source string that could cause the same memory to be freed twice.

Отчет

Ruby 2.6 series and 2.7 series are not affected.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 6	ruby	Not affected
Red Hat Enterprise Linux 7	ruby	Not affected
Red Hat Enterprise Linux 8	ruby:2.5/ruby	Not affected
Red Hat Enterprise Linux 8	ruby:2.6/ruby	Not affected
Red Hat Enterprise Linux 8	ruby:2.7/ruby	Not affected
Red Hat Software Collections	rh-ruby27-ruby	Not affected
Red Hat Enterprise Linux 8	ruby	Fixed	RHSA-2022:6450	13.09.2022
Red Hat Enterprise Linux 9	ruby	Fixed	RHSA-2022:6585	20.09.2022
Red Hat Software Collections for Red Hat Enterprise Linux 7	rh-ruby30-ruby	Fixed	RHSA-2022:6855	11.10.2022

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-415

https://bugzilla.redhat.com/show_bug.cgi?id=2075685Ruby: Double free in Regexp compilation

EPSS

Процентиль: 61%

0.00413

Низкий

7.7 High

CVSS3

Связанные уязвимости

CVE-2022-28738

CVSS3: 9.8

ubuntu

около 3 лет назад

CVE-2022-28738

CVSS3: 9.8

nvd

около 3 лет назад

CVE-2022-28738

CVSS3: 9.8

debian

около 3 лет назад

A double free was found in the Regexp compiler in Ruby 3.x before 3.0. ...

GHSA-8pqg-8p79-j5j8

CVSS3: 9.8

github

около 3 лет назад

BDU:2022-03068

CVSS3: 6.2

fstec

около 3 лет назад

Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 61%

0.00413

Низкий

7.7 High

CVSS3