CVE-2026-27820: Вразливість переповнення буфера у Zlib::GzipReader

Опублікував hsbt 05-03-2026
Переклав: Andrii Furmanets

У Zlib::GzipReader існує вразливість переповнення буфера. Цій вразливості присвоєно ідентифікатор CVE CVE-2026-27820. Рекомендуємо оновити gem zlib.

Деталі

Функція zstream_buffer_ungets додає байти, надані викликом, перед уже сформованим виводом, але не гарантує, що базовий рядок Ruby має достатню ємність перед тим, як memmove зсуває наявні дані. Це може призвести до пошкодження пам’яті, якщо довжина буфера перевищує його ємність.

Рекомендовані дії

Рекомендуємо оновити gem zlib до версії 3.2.3 або новішої. Щоб забезпечити сумісність із вбудованою версією у старіших гілках Ruby, замість цього можна оновитися так:

• Для користувачів Ruby 3.2: оновіть до zlib 3.0.1
• Для користувачів Ruby 3.3: оновіть до zlib 3.1.2

Для оновлення можна виконати gem update zlib. Якщо ви використовуєте bundler, додайте gem "zlib", ">= 3.2.3" до свого Gemfile.

Уражені версії

• gem zlib версії 3.2.2 або старіші

Подяки

Дякуємо calysteon за повідомлення про цю проблему. Також дякуємо nobu за створення патча.

Історія

• Початково опубліковано 2026-03-05 09:00:00 (UTC)