CVE-2026-27820: Zlib::GzipReader'da tampon taşması güvenlik açığı
hsbt tarafından 05.03.2026 tarihinde gönderildi
Çeviri: Ender Ahmet Yurt
Zlib::GzipReader‘da bir tampon taşması güvenlik açığı mevcuttur. Bu güvenlik açığına CVE-2026-27820 CVE tanımlayıcısı atanmıştır. zlib gem’ini güncellemenizi öneririz.
Ayrıntılar
zstream_buffer_ungets fonksiyonu, çağıran tarafından sağlanan baytları önceden üretilmiş çıktının önüne ekler; ancak memmove mevcut veriyi kaydırmadan önce destekleyen Ruby dizisinin yeterli kapasiteye sahip olduğunu garanti etmez. Bu durum, tampon uzunluğu kapasiteyi aştığında bellek bozulmasına yol açabilir.
Önerilen işlem
zlib gem’ini 3.2.3 veya daha yeni bir sürüme güncellemenizi öneririz. Eski Ruby sürümleriyle paketlenmiş sürümle uyumluluğu sağlamak için bunun yerine şu şekilde güncelleme yapabilirsiniz:
- Ruby 3.2 kullananlar için: zlib 3.0.1 sürümüne güncelleyin
- Ruby 3.3 kullananlar için: zlib 3.1.2 sürümüne güncelleyin
Güncelleme için gem update zlib komutunu kullanabilirsiniz. Bundler kullanıyorsanız, lütfen Gemfile’ınıza gem "zlib", ">= 3.2.3" ekleyin.
Etkilenen sürümler
zlib gem 3.2.2 veya önceki sürümler
Teşekkürler
Bu sorunu bildiren calysteon‘a teşekkürler. Ayrıca yamayı oluşturan nobu‘ya da teşekkürler.
Geçmiş
- İlk olarak 2026-03-05 09:00:00 (UTC) tarihinde yayınlandı
Son Haberler
Ruby 3.2.11 Yayınlandı
Ruby 3.2.11 yayınlandı. Bu sürüm, CVE-2026-27820’yi ele alan zlib gem güncellemesini içerir.
hsbt tarafından 27.03.2026 tarihinde gönderildi
Ruby 3.3.11 Yayınlandı
Ruby 3.3.11 yayınlandı. Bu sürüm, CVE-2026-27820’yi ele alan zlib gem güncellemesini ve bazı hata düzeltmelerini içerir.
hsbt tarafından 26.03.2026 tarihinde gönderildi
Ruby 4.0.2 Yayınlandı
Ruby 4.0.2 yayınlandı.
k0kubun tarafından 16.03.2026 tarihinde gönderildi
Ruby 3.4.9 Yayınlandı
Ruby 3.4.9 yayınlandı.
nagachika tarafından 11.03.2026 tarihinde gönderildi