Développement web

Une vulnérabilité de type débordement de tampon (buffer overflow) existe dans Zlib::GzipReader. Cette vulnérabilité s?est vue attribuer l?identifiant CVE CVE-2026-27820. Nous recommandons de mettre à jour la gemme zlib.

Détails

La fonction zstream_buffer_ungets ajoute les octets fournis par l?appelant au début de la sortie précédemment générée, mais ne garantit pas que la chaîne Ruby sous-jacente dispose d?une capacité suffisante avant que la fonction memmove ne déplace les données existantes. Cela peut entraîner une corruption de la mémoire lorsque la longueur du tampon dépasse la capacité disponible.

Action recommandée

Nous recommandons de mettre à jour la gemme zlib vers la version 3.2.3 ou une version ultérieure. Afin d?assurer la compatibilité avec la version fournie dans les anciennes branches Ruby, vous pouvez effectuer la mise à jour comme suit :

• Pour les utilisateurs de Ruby 3.2 : mettez à jour vers zlib 3.0.1
• Pour les utilisateurs de Ruby 3.3 : mettez à jour vers zlib 3.1.2

Vous pouvez utiliser gem update zlib pour effectuer la mise à jour. Si vous utilisez Bundler, veuillez ajouter gem « zlib », « >= 3.2.3 » à votre Gemfile.

Versions concernées

Gem zlib 3.2.2 ou antérieure

Remerciements

Merci à calysteon d?avoir signalé ce problème. Merci également à nobu d?avoir créé le correctif.

Historique

• Publié initialement le 05/03/2026 à 09:00:00 (UTC)

Posté par hsbt le 2026-03-05
Traduit par Alexandre ZANNI

Ruby 3.2.10 est désormais disponible.

En dehors de changements mineurs et de corrections de bogues fonctionnels, cette version apporte un correctif pour 2 vulnérabilités :

• CVE-2025-61594 / EUVD-2025-205858
• CVE-2025-58767 / EUVD-2025-29746

Pour plus de détails, veuillez consulter la page GitHub releases.

Téléchargements

• https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.tar.gz

  SIZE: 19983731
  SHA1: 6d7afca27627fbbcc7b933ac4e1a8a58c7a9be0e
  SHA256: 880acb05e08da8c559c56a13e512bae1b472da67c72ebb750c765f9c2134e689
  SHA512: 0f23dbc9b49b1c7c6256ba961c652a4f3659e6127a4c333624fca4e4f6a873cc06b01992b10aa7970a52e99b654fc655a25348a47de73cc786f3e33e8b702295
  

• https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.tar.xz

  SIZE: 14696548
  SHA1: 2cc431a4c64c222b2f13574ec034226cd4fa2580
  SHA256: a64a8a910ac2f28834b2170dedea688f06cbc6431fcd65eb18cc49ddbf3826ae
  SHA512: a89044db8a55bd990d3756e212f2966b62b903eefc96c7e0af89aa4580ff7253d2f64c6c25fc04f2031b959e614bae84b86db36cfdec3a3e8afb5c3026426687
  

• https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.zip

  SIZE: 24593429
  SHA1: e1123828b4b7a39c19342697d5e0af095237f0e3
  SHA256: 8e98d793347a48cc7ef45cfdcb1bafa5151d114e8b8fc4dc094a9584af00049e
  SHA512: b01077c71b9d006378620df95e3ffdb271fddc6f966a8cbbdb53f9f07e67b1924a1eadf200f5cc44ed87640c509b106c995386268d7dc10443a73ea39755aa44
  

Remarque concernant cette version

De nombreux contributeurs, développeurs et utilisateurs qui ont signalé des bogues nous ont aidés à réaliser cette version. Merci à eux pour leur contribution.

Posté par hsbt le 2026-01-14
Traduit par Alexandre ZANNI

Ruby 4.0.1 est désormais disponible.

Cette version corrige un bogue provoquant un réveil intempestif de Kernel#sleep lorsqu?un sous-processus se termine dans un autre fil (thread), ainsi que d?autres bogues. Pour plus de détails, veuillez consulter la page GitHub Releases.

Calendrier de publication

Nous prévoyons de publier la dernière version stable de Ruby (actuellement Ruby 4.0) tous les deux mois après la sortie de la version précédente. Ruby 4.0.2 sera publié en mars, 4.0.3 en mai, 4.0.4 en juillet, 4.0.5 en septembre et 4.0.6 en novembre.

Si un changement susceptible d?avoir un impact significatif sur les utilisateurs survient, une version pourrait être publiée plus tôt que prévu, et le calendrier suivant pourrait être modifié en conséquence.

Téléchargements

• https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.tar.gz

  SIZE: 23807304
  SHA1: 01db5746bbb29b028bd44d505a147d06866b1ab2
  SHA256: 3924be2d05db30f4e35f859bf028be85f4b7dd01714142fd823e4af5de2faf9d
  SHA512: f4eead09c7355b878a34343dd8cfb9c4c36f02ad3b9a7fd42981d722444beca0182ddea4fc771e2e01a05d9f14978a979ba0ba3590d366f53b6947f43fd78aff
  

• https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.tar.xz

  SIZE: 17892492
  SHA1: 266e6fa80ed2b4f4bb7de2e98973dc084a1f380e
  SHA256: 0531fe57dfdb56bf591620d2450642ea0e0964f3512a6ebee7dc9305de69395f
  SHA512: b67d9d1f97ba30200d103f8454e39dc2d0450819d51d91eb5451d44b0bafc56d2fa48bb1be6c5081babe5828f679984bad02b9bcee7441f6bd34c0a95b8f200b
  

• https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.zip

  SIZE: 29107093
  SHA1: d3a9217c848b22636025c525971578557ba5f7a3
  SHA256: 36cbcea4972e201464ae1c6686a3a785b115aee9b836d9bbbe6d961dcef2358d
  SHA512: a8512d3f57254bfacfd4c68ee50bb7cad3168f4d9c3be51658378e5db589032745759c360d8711a060b2ed5b9b78855e498b54fcba869a4e60f03ed4aae68ea8
  

Remarque concernant cette version

De nombreux contributeurs, développeurs et utilisateurs qui ont signalé des bogues nous ont aidés à réaliser cette version. Merci à eux pour leur contribution.

Posté par k0kubun le 2026-01-13
Traduit par Alexandre ZANNI

Nous sommes ravis d?annoncer une refonte complète de notre site. Le style de cette mise à jour a été créé par Taeko Akatsuka.

Dans le cadre de cette mise à jour, nous avons repensé l?identité du site sous le slogan « Une langue où les gens se rassemblent, un site où les gens sont visibles ».

Depuis 30 ans, Ruby est un langage axé sur le « bonheur des programmeurs ». Le nouveau visuel clé exprime la présence des personnes qui entourent Ruby.

La composition présente divers personnages illustrés à la main rayonnant à partir du logo Ruby central, représentant les développeurs du monde entier qui se connectent via Ruby, créent de la valeur dans leurs domaines respectifs et apprécient Ruby aux côtés de motifs familiers.

Tout en mettant en avant les atouts modernes de Ruby, à savoir son écosystème, sa productivité et sa communauté, le style visuel chaleureux incarne la joie, l?accessibilité et la qualité tactile qui sont au c?ur de Ruby depuis sa création. Nous avons cherché à créer une expression unique à Ruby, que l?on ne retrouve pas sur les sites consacrés à d?autres langages de programmation.

Matz souligne la simplicité d?expression comme l?un des points forts de Ruby, en plus de son écosystème, de sa productivité et de sa communauté. Avec le nouveau style, en suivant le visuel clé, le code Ruby est affiché pour mettre en avant son essence en tant que langage de programmation.

Nous avons également intégré des entretiens avec des membres de la communauté et des photographies, créant ainsi un site où vous pouvez sentir la présence des nombreuses personnes qui se cachent derrière le langage de programmation.

La mise à jour du site avec le nouveau concept graphique est toujours en cours. Il reste encore beaucoup à améliorer, notamment les liens rompus et les incohérences. Nous attendons vos commentaires avec impatience.

Posté par Hiroshi SHIBATA le 2025-12-22
Traduit par Alexandre ZANNI

Une vulnérabilité de déni de service (DoS) a été découverte dans la gem resolv fournie avec Ruby. Cette vulnérabilité a reçu l?identifiant CVE-2025-24294. Nous recommandons de mettre à jour la gem resolv.

Détails

La vulnérabilité est causée par une vérification insuffisante de la longueur d?un nom de domaine décompressé à l?intérieur d?un paquet DNS.

Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé. Lorsqu?une bibliothèque resolv analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.

Cette consommation excessive de ressources peut rendre le thread de l?application non réactif, entraînant une situation de déni de service.

Versions affectées

La vulnérabilité affecte la gem resolv fournie avec les séries Ruby suivantes :

• Série Ruby 3.2 : resolv version 0.2.2 et antérieures
• Série Ruby 3.3 : resolv version 0.3.0
• Série Ruby 3.4 : resolv version 0.6.1 et antérieures

Remerciements

Merci à Manu pour avoir découvert cette vulnérabilité.

Historique

• Publication initiale le 2025-07-08 07:00:00 (UTC)

Posté par mame le 2025-07-08
Traduit par Florent Drousset

[...]

[...]

[...]

[...]

[...]