Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Bin ich betroffen? Wer Ruby-Anwendungen betreibt, die GZip-komprimierte Daten lesen – etwa beim Verarbeiten von API-Antworten, Uploads oder Archiven – und dabei das Zlib-Gem in Version 3.2.2 oder älter einsetzt, ist potenziell verwundbar. Das lässt sich schnell prüfen: gem list zlib zeigt die installierte Version.

Empfehlung: Sofort aktualisieren mit gem update zlib. Wer Bundler nutzt, trägt gem "zlib", ">= 3.2.3" in die Gemfile ein und führt bundle update zlib aus. Für ältere Ruby-Versionen gelten Ausnahmen: Ruby 3.2 benötigt mindestens zlib 3.0.1, Ruby 3.3 mindestens 3.1.2.

Quelle: ruby-lang.org Security Advisory

Related Posts

Apache ActiveMQ-Lücke führt zu LockBit-Ransomware-Angriff

Eine detaillierte Fallanalyse von The DFIR Report zeigt, wie Angreifer über die seit 2023 bekannte Schwachstelle CVE-2023-46604 in Apache ActiveMQ eingedrungen sind – und das gleich zweimal beim selben Opfer. Der originale Bericht ist hier abrufbar: The DFIR Report, Februar 2026

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More

Gefälschte Windows-11-Werbung auf Facebook verteilt Passwort- und Krypto-Stealer

Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen" liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.

Read More