|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "CVE-2024-27282: Lectura de direcciones de memoria arbitrarias al buscar Regex" |
| 4 | +author: "hsbt" |
| 5 | +translator: vtamara |
| 6 | +date: 2024-04-23 10:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: es |
| 9 | +--- |
| 10 | + |
| 11 | +Hemos publicado las versiones 3.0.7, 3.1.5, 3.2.4 y 3.3.1 que |
| 12 | +incluyen una corrección de seguridad para una vulnerabilidad de |
| 13 | +lectura de direcciones de memoria arbitrarias en la búsqueda Regex. |
| 14 | +A esta vulnerabilidad se le ha asignado el identificador CVE |
| 15 | +[CVE-2024-27282](https://www.cve.org/CVERecord?id=CVE-2024-27282). |
| 16 | + |
| 17 | +## Detalles |
| 18 | + |
| 19 | +Se ha descubierto un problema en Ruby 3.x incluyendo 3.3.0. |
| 20 | + |
| 21 | +Si se suministran datos preparados por un atacante al compilador de Regex de |
| 22 | +Ruby, es posible extraer datos del heap relacionados con el comienzo |
| 23 | +del texto, incluyendo apuntadores a cadenas sensitivas. |
| 24 | + |
| 25 | +## Acción recomendada |
| 26 | + |
| 27 | +Recomendamos actualizar a la versión de Ruby 3.3.1 o posterior. |
| 28 | +Para asegurar compatibilidad con series anteriores de Ruby, |
| 29 | +en lugar de eso, puede actualizar como se indica a continuación: |
| 30 | + |
| 31 | +* Para usuarios de Ruby 3.0: Actualizar a 3.0.7 |
| 32 | +* Para usuarios de Ruby 3.1: Actualizar a 3.1.5 |
| 33 | +* Para usuarios de Ruby 3.2: Actualizar a 3.2.4 |
| 34 | + |
| 35 | +## Versiones afectadas |
| 36 | + |
| 37 | +* Ruby 3.0.6 y anteriores |
| 38 | +* Ruby 3.1.4 y anteriores |
| 39 | +* Ruby 3.2.3 y anteriores |
| 40 | +* Ruby 3.3.0 |
| 41 | + |
| 42 | +## Creditos |
| 43 | + |
| 44 | +Agradecmoes a [sp2ip](https://hackerone.com/sp2ip?type=user) |
| 45 | +por descubrir este problema. |
| 46 | + |
| 47 | +## Historia |
| 48 | + |
| 49 | +* Publicado originalmente el 2024-04-23 10:00:00 (UTC) |
0 commit comments