ruby · riseshia · Mar 18, 2026 · Mar 17, 2026 · Mar 17, 2026 · Mar 18, 2026
@@ -0,0 +1,36 @@
+---
+layout: news_post
+title: "CVE-2026-27820: Zlib::GzipReader의 버퍼 오버플로 취약점"
+author: "hsbt"
+translator: "shia"
+date: 2026-03-05 00:00:00 +0000
+tags: security
+lang: ko
+---
+
+`Zlib::GzipReader`에 버퍼 오버플로 취약점이 존재합니다. 이 취약점은 CVE 번호 [CVE-2026-27820](https://www.cve.org/CVERecord?id=CVE-2026-27820)으로 등록되었습니다. zlib gem 업그레이드를 권장합니다.
+
+### 세부 내용
+
+`zstream_buffer_ungets` 함수는 이전에 생성된 출력 앞에 호출자가 제공한 바이트를 추가하지만, memmove가 기존 데이터를 이동하기 전에 Ruby 문자열이 충분한 용량을 가지고 있는지 보장하지 않습니다. 이로 인해 버퍼 길이가 용량을 초과하면 메모리 손상이 발생할 수 있습니다.
+
+### 권장 조치
+
+`zlib` gem을 버전 3.2.3 이상으로 업데이트하는 것을 권장합니다. 이전 Ruby 버전대에 내장된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수도 있습니다.
+
+* Ruby 3.2 사용자: zlib 3.0.1로 업데이트
+* Ruby 3.3 사용자: zlib 3.1.2로 업데이트
+
+gem update zlib 명령으로 업데이트할 수 있습니다. bundler를 사용하는 경우, Gemfile에 `gem "zlib", ">= 3.2.3"`을 추가해 주세요.
+
+### 해당 버전
+
+zlib gem 3.2.2 이하
+
+### 도움을 준 사람
+
+이 문제를 보고해 준 [calysteon](https://hackerone.com/calysteon)에게 감사를 표합니다. 또한 패치를 작성해 준 [nobu](https://github.com/nobu)에게도 감사를 표합니다.
+
+## 수정 이력
+
+* 2026-03-05 09:00:00 (UTC) 최초 공개