CSIRT Toscana Aggiornamenti di sicurezza per Ruby (AL01/260520/CSIRT-ITA)
Data:
20 Maggio 2026
Impatto Sistemico
Medio (63.46)
Sintesi
Sanata una vulnerabilità in Ruby che interessava il meccanismo di gestione dei timeout della funzione rb_getaddrinfo , utilizzata da Addrinfo.getaddrinfo(…, timeout:) e Socket.tcp(…, resolv_timeout) . In particolari condizioni temporali, un oggetto in memoria poteva essere liberato mentre un altro thread cercava di accedervi, causando un dereferenziamento di memoria libera già liberata. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di compromettere la disponibilità del servizio sui sistemi interessati.
Tipologia
Denial of Service
Prodotti e versioni affette
Ruby
- 4.0.x, versioni precedenti la 4.0.5
- 4.1.0-dev (master) priva di mitigazione
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare le versioni vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://www.ruby-lang.org/en/news/2026/05/20/getaddrinfo-cve-2026-46727/
- https://www.ruby-lang.org/en/news/2026/05/20/ruby-4-0-5-released/
CVE
| CVE-ID |
|---|
| CVE-2026-46727 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-05-2026 | 20/05/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
20 Maggio 2026, 10:15