CVE-2026-27820 : Vulnérabilité de type débordement de tampon dans Zlib::GzipReader
Posté par hsbt le 2026-03-05
Traduit par Alexandre ZANNI
Une vulnérabilité de type débordement de tampon (buffer overflow) existe dans Zlib::GzipReader. Cette vulnérabilité s’est vue attribuer l’identifiant CVE CVE-2026-27820. Nous recommandons de mettre à jour la gemme zlib.
Détails
La fonction zstream_buffer_ungets ajoute les octets fournis par l’appelant au début de la sortie précédemment générée, mais ne garantit pas que la chaîne Ruby sous-jacente dispose d’une capacité suffisante avant que la fonction memmove ne déplace les données existantes. Cela peut entraîner une corruption de la mémoire lorsque la longueur du tampon dépasse la capacité disponible.
Action recommandée
Nous recommandons de mettre à jour la gemme zlib vers la version 3.2.3 ou une version ultérieure. Afin d’assurer la compatibilité avec la version fournie dans les anciennes branches Ruby, vous pouvez effectuer la mise à jour comme suit :
- Pour les utilisateurs de Ruby 3.2 : mettez à jour vers zlib 3.0.1
- Pour les utilisateurs de Ruby 3.3 : mettez à jour vers zlib 3.1.2
Vous pouvez utiliser gem update zlib pour effectuer la mise à jour. Si vous utilisez Bundler, veuillez ajouter gem « zlib », « >= 3.2.3 » à votre Gemfile.
Versions concernées
Gem zlib 3.2.2 ou antérieure
Remerciements
Merci à calysteon d’avoir signalé ce problème. Merci également à nobu d’avoir créé le correctif.
Historique
- Publié initialement le 05/03/2026 à 09:00:00 (UTC)
Actualité récente
Ruby 3.2.10 est disponible
Ruby 3.2.10 est désormais disponible.
Posté par hsbt le 2026-01-14
Ruby 4.0.1 est disponible
Ruby 4.0.1 est désormais disponible.
Posté par k0kubun le 2026-01-13
Refonte de l'identité visuelle de notre site
Nous sommes ravis d’annoncer une refonte complète de notre site. Le style de cette mise à jour a été créé par Taeko Akatsuka.
Posté par Hiroshi SHIBATA le 2025-12-22
Sortie de Ruby 3.4.4
Ruby 3.4.4 est sorti.
Posté par k0kubun le 2025-05-14