Actualités de Ruby-lang

CVE-2026-27820 : Vulnérabilité de type débordement de tampon dans Zlib::GzipReader

Thu, 05 Mar 2026 00:00:00 +0000

Une vulnérabilité de type débordement de tampon (buffer overflow) existe dans Zlib::GzipReader. Cette vulnérabilité s’est vue attribuer l’identifiant CVE CVE-2026-27820. Nous recommandons de mettre à jour la gemme zlib.

Détails

La fonction zstream_buffer_ungets ajoute les octets fournis par l’appelant au début de la sortie précédemment générée, mais ne garantit pas que la chaîne Ruby sous-jacente dispose d’une capacité suffisante avant que la fonction memmove ne déplace les données existantes. Cela peut entraîner une corruption de la mémoire lorsque la longueur du tampon dépasse la capacité disponible.

Action recommandée

Nous recommandons de mettre à jour la gemme zlib vers la version 3.2.3 ou une version ultérieure. Afin d’assurer la compatibilité avec la version fournie dans les anciennes branches Ruby, vous pouvez effectuer la mise à jour comme suit :

Pour les utilisateurs de Ruby 3.2 : mettez à jour vers zlib 3.0.1
Pour les utilisateurs de Ruby 3.3 : mettez à jour vers zlib 3.1.2

Vous pouvez utiliser gem update zlib pour effectuer la mise à jour. Si vous utilisez Bundler, veuillez ajouter gem « zlib », « >= 3.2.3 » à votre Gemfile.

Versions concernées

Gem zlib 3.2.2 ou antérieure

Remerciements

Merci à calysteon d’avoir signalé ce problème. Merci également à nobu d’avoir créé le correctif.

Historique

Publié initialement le 05/03/2026 à 09:00:00 (UTC)

Posté par hsbt le 2026-03-05
Traduit par Alexandre ZANNI

Ruby 3.2.10 est disponible

Wed, 14 Jan 2026 01:22:04 +0000

Ruby 3.2.10 est désormais disponible.

En dehors de changements mineurs et de corrections de bogues fonctionnels, cette version apporte un correctif pour 2 vulnérabilités :

Pour plus de détails, veuillez consulter la page GitHub releases.

Téléchargements

https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.tar.gz

SIZE: 19983731
SHA1: 6d7afca27627fbbcc7b933ac4e1a8a58c7a9be0e
SHA256: 880acb05e08da8c559c56a13e512bae1b472da67c72ebb750c765f9c2134e689
SHA512: 0f23dbc9b49b1c7c6256ba961c652a4f3659e6127a4c333624fca4e4f6a873cc06b01992b10aa7970a52e99b654fc655a25348a47de73cc786f3e33e8b702295

https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.tar.xz

SIZE: 14696548
SHA1: 2cc431a4c64c222b2f13574ec034226cd4fa2580
SHA256: a64a8a910ac2f28834b2170dedea688f06cbc6431fcd65eb18cc49ddbf3826ae
SHA512: a89044db8a55bd990d3756e212f2966b62b903eefc96c7e0af89aa4580ff7253d2f64c6c25fc04f2031b959e614bae84b86db36cfdec3a3e8afb5c3026426687

https://cache.ruby-lang.org/pub/ruby/3.2/ruby-3.2.10.zip

SIZE: 24593429
SHA1: e1123828b4b7a39c19342697d5e0af095237f0e3
SHA256: 8e98d793347a48cc7ef45cfdcb1bafa5151d114e8b8fc4dc094a9584af00049e
SHA512: b01077c71b9d006378620df95e3ffdb271fddc6f966a8cbbdb53f9f07e67b1924a1eadf200f5cc44ed87640c509b106c995386268d7dc10443a73ea39755aa44

Remarque concernant cette version

De nombreux contributeurs, développeurs et utilisateurs qui ont signalé des bogues nous ont aidés à réaliser cette version. Merci à eux pour leur contribution.

Posté par hsbt le 2026-01-14
Traduit par Alexandre ZANNI

Ruby 4.0.1 est disponible

Tue, 13 Jan 2026 02:28:48 +0000

Ruby 4.0.1 est désormais disponible.

Cette version corrige un bogue provoquant un réveil intempestif de Kernel#sleep lorsqu’un sous-processus se termine dans un autre fil (thread), ainsi que d’autres bogues. Pour plus de détails, veuillez consulter la page GitHub Releases.

Calendrier de publication

Nous prévoyons de publier la dernière version stable de Ruby (actuellement Ruby 4.0) tous les deux mois après la sortie de la version précédente. Ruby 4.0.2 sera publié en mars, 4.0.3 en mai, 4.0.4 en juillet, 4.0.5 en septembre et 4.0.6 en novembre.

Si un changement susceptible d’avoir un impact significatif sur les utilisateurs survient, une version pourrait être publiée plus tôt que prévu, et le calendrier suivant pourrait être modifié en conséquence.

Téléchargements

https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.tar.gz

SIZE: 23807304
SHA1: 01db5746bbb29b028bd44d505a147d06866b1ab2
SHA256: 3924be2d05db30f4e35f859bf028be85f4b7dd01714142fd823e4af5de2faf9d
SHA512: f4eead09c7355b878a34343dd8cfb9c4c36f02ad3b9a7fd42981d722444beca0182ddea4fc771e2e01a05d9f14978a979ba0ba3590d366f53b6947f43fd78aff

https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.tar.xz

SIZE: 17892492
SHA1: 266e6fa80ed2b4f4bb7de2e98973dc084a1f380e
SHA256: 0531fe57dfdb56bf591620d2450642ea0e0964f3512a6ebee7dc9305de69395f
SHA512: b67d9d1f97ba30200d103f8454e39dc2d0450819d51d91eb5451d44b0bafc56d2fa48bb1be6c5081babe5828f679984bad02b9bcee7441f6bd34c0a95b8f200b

https://cache.ruby-lang.org/pub/ruby/4.0/ruby-4.0.1.zip

SIZE: 29107093
SHA1: d3a9217c848b22636025c525971578557ba5f7a3
SHA256: 36cbcea4972e201464ae1c6686a3a785b115aee9b836d9bbbe6d961dcef2358d
SHA512: a8512d3f57254bfacfd4c68ee50bb7cad3168f4d9c3be51658378e5db589032745759c360d8711a060b2ed5b9b78855e498b54fcba869a4e60f03ed4aae68ea8

Remarque concernant cette version

De nombreux contributeurs, développeurs et utilisateurs qui ont signalé des bogues nous ont aidés à réaliser cette version. Merci à eux pour leur contribution.

Posté par k0kubun le 2026-01-13
Traduit par Alexandre ZANNI

Refonte de l'identité visuelle de notre site

Mon, 22 Dec 2025 05:46:09 +0000

Nous sommes ravis d’annoncer une refonte complète de notre site. Le style de cette mise à jour a été créé par Taeko Akatsuka.

Dans le cadre de cette mise à jour, nous avons repensé l’identité du site sous le slogan « Une langue où les gens se rassemblent, un site où les gens sont visibles ».

Depuis 30 ans, Ruby est un langage axé sur le « bonheur des programmeurs ». Le nouveau visuel clé exprime la présence des personnes qui entourent Ruby.

La composition présente divers personnages illustrés à la main rayonnant à partir du logo Ruby central, représentant les développeurs du monde entier qui se connectent via Ruby, créent de la valeur dans leurs domaines respectifs et apprécient Ruby aux côtés de motifs familiers.

Tout en mettant en avant les atouts modernes de Ruby, à savoir son écosystème, sa productivité et sa communauté, le style visuel chaleureux incarne la joie, l’accessibilité et la qualité tactile qui sont au cœur de Ruby depuis sa création. Nous avons cherché à créer une expression unique à Ruby, que l’on ne retrouve pas sur les sites consacrés à d’autres langages de programmation.

Matz souligne la simplicité d’expression comme l’un des points forts de Ruby, en plus de son écosystème, de sa productivité et de sa communauté. Avec le nouveau style, en suivant le visuel clé, le code Ruby est affiché pour mettre en avant son essence en tant que langage de programmation.

Nous avons également intégré des entretiens avec des membres de la communauté et des photographies, créant ainsi un site où vous pouvez sentir la présence des nombreuses personnes qui se cachent derrière le langage de programmation.

La mise à jour du site avec le nouveau concept graphique est toujours en cours. Il reste encore beaucoup à améliorer, notamment les liens rompus et les incohérences. Nous attendons vos commentaires avec impatience.

Posté par Hiroshi SHIBATA le 2025-12-22
Traduit par Alexandre ZANNI

CVE-2025-24294 : Vulnérabilité de déni de service potentielle dans la gem resolv

Tue, 08 Jul 2025 07:00:00 +0000

Une vulnérabilité de déni de service (DoS) a été découverte dans la gem resolv fournie avec Ruby. Cette vulnérabilité a reçu l’identifiant CVE-2025-24294. Nous recommandons de mettre à jour la gem resolv.

Détails

La vulnérabilité est causée par une vérification insuffisante de la longueur d’un nom de domaine décompressé à l’intérieur d’un paquet DNS.

Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé. Lorsqu’une bibliothèque resolv analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.

Cette consommation excessive de ressources peut rendre le thread de l’application non réactif, entraînant une situation de déni de service.

Versions affectées

La vulnérabilité affecte la gem resolv fournie avec les séries Ruby suivantes :

Série Ruby 3.2 : resolv version 0.2.2 et antérieures
Série Ruby 3.3 : resolv version 0.3.0
Série Ruby 3.4 : resolv version 0.6.1 et antérieures

Remerciements

Merci à Manu pour avoir découvert cette vulnérabilité.

Historique

Publication initiale le 2025-07-08 07:00:00 (UTC)

Posté par mame le 2025-07-08
Traduit par Florent Drousset

Sortie de Ruby 3.4.4

Wed, 14 May 2025 18:20:00 +0000

Ruby 3.4.4 est sorti.

Cette version inclut une correction d’un bug dans YJIT lié aux variables locales, ainsi qu’une correction d’un problème de compilation sous Windows lors de l’utilisation de GCC 15. Elle a été publiée plus tôt que prévu afin de rendre ces correctifs disponibles dès que possible. Quelques autres corrections de bugs sont également incluses.

Veuillez consulter les notes de version sur GitHub pour plus de détails.

Calendrier des sorties

Nous avons pour objectif de publier la dernière version stable de Ruby (actuellement Ruby 3.4) tous les deux mois suivant la dernière sortie. Après cette version (3.4.4), Ruby 3.4.5 est prévue pour juillet, 3.4.6 pour septembre, 3.4.7 pour novembre et 3.4.8 pour janvier.

Si un changement ayant un impact significatif sur les utilisateurs survient, une version pourra être publiée plus tôt que prévu, et le calendrier suivant pourra être ajusté en conséquence.

Téléchargement

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.tar.gz

TAILLE : 23204581
SHA1 : aff18f17868d076f4516ea4209931ad55b264f73
SHA256 : a0597bfdf312e010efd1effaa8d7f1d7833146fdc17950caa8158ffa3dcbfa85
SHA512 : ec52e338a9558e5fb0975be4249ff47a2d8c7926d8ae3af58f4e5a233f400f75da88ce8254bac7a8cd7a6b0b87fd4eb7315944c76be43719782bd0c16040197b

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.tar.xz

TAILLE : 17255388
SHA1 : 83ddf983c194b353634e91a86b466ce0d01bff39
SHA256 : f76d63efe9499dedd8526b74365c0c811af00dc9feb0bed7f5356488476e28f4
SHA512 : 0d258cf790daad424c866404b5cbdc8adba0e4e13764847a89adf2335229e5184095c9f3e9594705897697e48bcc322d9a9f919b04047abb2075daca9fce8871

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.zip

TAILLE : 28372208
SHA1 : 77377010d19109939fe11cadf1c210deda8ec202
SHA256 : 7c64e2c303ef8433e01cb3afd9be094707a9aa60355fcee08d12ca90e1e46399
SHA512 : f8dada5fae978b3eb82ed6863d3e8e25dfd90b3348eace2400d7428b0a1a9362bf88dc3138ef4b68bc5aaff781e90388e428390f5f55c5667fd24e4754544814

Remerciements

De nombreux contributeurs, développeurs et utilisateurs ayant signalé des bugs ont aidé à la réalisation de cette version. Merci à eux pour leurs contributions.

Posté par k0kubun le 2025-05-14
Traduit par Florent Drousset

CVE-2025-43857 : vulnérabilité DoS dans net-imap

Mon, 28 Apr 2025 16:02:04 +0000

Il existe une possibilité d’attaque par déni de service (DoS) dans la gem net-imap. Cette vulnérabilité a reçu l’identifiant CVE CVE-2025-43857. Nous recommandons de mettre à jour la gem net-imap.

Détails

Un serveur malveillant peut envoyer un compteur d’octets « literal » qui est automatiquement lu par le thread récepteur du client. Le lecteur de réponses alloue immédiatement la mémoire correspondant au nombre d’octets indiqué par la réponse du serveur. Cela ne pose pas de problème lors d’une connexion sécurisée à des serveurs IMAP de confiance et bien configurés. En revanche, cela affecte les connexions non sécurisées et les serveurs défectueux, non fiables ou compromis (par exemple, une connexion vers un nom d’hôte fourni par un utilisateur).

Veuillez mettre à jour la gem net-imap vers la version 0.2.5, 0.3.9, 0.4.20, 0.5.7 ou ultérieure.

Lors d’une connexion à des serveurs non fiables ou en utilisant une connexion non sécurisée, il est nécessaire de configurer correctement max_response_size et les gestionnaires de réponses afin de limiter la consommation mémoire. Voir GHSA-j3g3-5qv5-52mj pour plus de détails.

Versions affectées

Les versions de la gem net-imap affectées sont : <= 0.2.4, 0.3.0 à 0.3.8, 0.4.0 à 0.4.19, et 0.5.0 à 0.5.6.

Crédits

Merci à Masamune pour avoir découvert ce problème.

Historique

Publié initialement le 2025-04-28 16:02:04 (UTC)

Posté par nevans le 2025-04-28
Traduit par Florent Drousset

Ruby 3.5.0 preview1 est disponible

Fri, 18 Apr 2025 00:00:00 +0000

Nous avons le plaisir d’annoncer la sortie de Ruby 3.5.0-preview1. Ruby 3.5 met à jour sa version Unicode vers 15.1.0, et plus encore.

Changements du langage

*nil n’appelle plus nil.to_a, de la même façon que **nil n’appelle pas nil.to_hash. [Feature #21047]

Mises à jour des classes Core

Note : nous listons uniquement les changements notables des classes Core.

Binding
- Binding#local_variables n’inclut plus les paramètres numérotés. De plus, Binding#local_variable_get et Binding#local_variable_set refusent désormais de gérer les paramètres numérotés. [Bug #21049]
IO
- IO.select accepte désormais +Float::INFINITY+ comme argument de timeout. [Feature #20610]
String
- Mise à jour vers Unicode Version 15.1.0 et Emoji Version 15.1. [Feature #19908] (s’applique aussi aux expressions rationnelles Regexp)

Mises à jour de la bibliothèque standard

Note : nous listons uniquement les mises à jour notables des bibliothèques standard.

ostruct 0.6.1
pstore 0.2.0
benchmark 0.4.0
logger 1.7.0
rdoc 6.13.1
win32ole 1.9.2
irb 1.15.2
reline 0.6.1
readline 0.0.4
fiddle 1.1.6

Problèmes de compatibilité

Note : hors corrections de bugs liés aux fonctionnalités.

Problèmes de compatibilité des bibliothèques standard

Mises à jour de l’API C

Autres changements divers

Voir NEWS ou les journaux de commits pour plus de détails.

Avec ces changements, 2065 fichiers modifiés, 36581 ajouts(+), 203037 suppressions(-) depuis Ruby 3.4.0 !

Téléchargement

https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.tar.gz

TAILLE : 23146162
SHA1   : ee0fcfe1342116f05060279ff0c9eb1e215db0b9
SHA256 : ecf09c7eb902e91cdaf9cc553cd00cca9b848b3fc0e14297850f9ab08cdd46f0
SHA512 : d718973648705636eff5933a0919132fd1f6b9afea432e09cce1265c6e0125e11cc94dbff84cba1caefc03190c48d8af4a27337d2af031f3f1660ca3a3531211

https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.tar.xz

TAILLE : 17443928
SHA1   : 8a78a9189afa20cde42207a466bcf7d421ee144b
SHA256 : c6cc1e9f23fe4719b024b8305345ca0cff4e1bc159f3ebff86cb5b87969863aa
SHA512 : 835bd0b65d546722c83b0ab454256357b48898a0de9aa8e38966f53d2370a6e99552eeaff76a0b680aefbbe7491e701e5e7357797e50f063c53e79d9561c1dac

https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.zip

TAILLE : 28548713
SHA1   : bd0c32bc84ac1ce9edbc9c0a50e8c72e56b1229d
SHA256 : 3e1d9df578c69976a01a69b961819d00c4e8942f8b5fe4fb8e135fca4f7e7e5e
SHA512 : 47057e1615b2b59d5bbd0d6629e1320ed74f3d70748f1db4e8b88d6c8a3ecd255eacc7dac0cccd01923fae4b4dff9e6b9457a9858c81dab81c1ab9ee514b15fa

Qu’est-ce que Ruby

Ruby a été développé pour la première fois par Matz (Yukihiro Matsumoto) en 1993, et est maintenant développé comme un logiciel Open Source. Il fonctionne sur de multiples plateformes et est utilisé dans le monde entier, en particulier pour le développement web.

Posté par naruse le 2025-04-18
Traduit par Florent Drousset

Ruby 3.4.3 est disponible

Mon, 14 Apr 2025 08:06:57 +0000

Ruby 3.4.3 est sorti.

Ceci est une mise à jour de routine incluant des corrections de bugs. Veuillez consulter les notes de version sur GitHub pour plus de détails.

Calendrier des versions

Nous prévoyons de publier la dernière version stable de Ruby (actuellement Ruby 3.4) tous les 2 mois. Ruby 3.4.4 sortira en juin, 3.4.5 en août, 3.4.6 en octobre et 3.4.7 en décembre.

Si un changement affecte un grand nombre de personnes, ces versions pourront être publiées plus tôt que prévu.

Téléchargement

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.tar.gz

TAILLE : 23194448
SHA1   : c269cd122ab9d4620a1e0e6a8f4de378deec3799
SHA256 : 55a4cd1dcbe5ca27cf65e89a935a482c2bb2284832939266551c0ec68b437f46
SHA512 : 7019889939713c3e649003fed4d973dced36239fc354cfdee2d01dbdeb7e8512881a31b00efc3d5017f08cd492aed7914d15927bc8d076c0cae7534273e471e9

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.tar.xz

TAILLE : 17230984
SHA1   : d0d86fdfe6bcf9f2eb3b450f3209f655ceda86da
SHA256 : 174dcd8c516694f833fd3c93ea227fa6c3321464577a3882a6fc7e4fe20237fd
SHA512 : b30aad675cdcc1bdfe9e5fffe9d1925db3b3ac854a5e34180c368bc6e66f73e29ba5d802fea249353b7d799c01384c58bdd763fd1b679303158baa7824b9c08e

https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.zip

TAILLE : 28356998
SHA1   : 87cb747a766660cf487a2e9dbbc7a18a8f6b65d9
SHA256 : 06b8bf2ddf2642327c992d30f5d414ffa5a5df0c4c706d7b2507b42509fb5055
SHA512 : b25289c899318ce5071b075fc1b75f602e0a543faeefa44df7e8064933500f9c357685fe21d09abc4034d481c22c89491c841f596d07e1cd269d800e6266cc24

Commentaire sur la version

De nombreux contributeurs, développeurs et utilisateurs ayant fourni des rapports de bugs nous ont aidés à réaliser cette version. Merci pour leurs contributions.

Posté par k0kubun le 2025-04-14
Traduit par Florent Drousset

Ruby 3.3.8 est disponible

Wed, 09 Apr 2025 11:00:00 +0000

Ruby 3.3.8 est sorti.

Veuillez consulter les releases GitHub pour plus de détails.

Téléchargement

https://cache.ruby-lang.org/pub/ruby/3.3/ruby-3.3.8.tar.gz

TAILLE : 22197497
SHA1   : 71b8362d413f58ed5aef2ecd132769210c45f058
SHA256 : 5ae28a87a59a3e4ad66bc2931d232dbab953d0aa8f6baf3bc4f8f80977c89cab
SHA512 : c5005ba4019fbae19650a9a9ce139e13608345065da9e2277dbeac9d0ac9e3b07b666816afe7be690088080c8c9cf88a8c372971d429479dcebea80d6c2e3883

https://cache.ruby-lang.org/pub/ruby/3.3/ruby-3.3.8.tar.xz

TAILLE : 16435924
SHA1   : 9ee07098fd930744d8df5d4945b5f99d2fecb9ef
SHA256 : 44ae70fee043da3ce48289b7a52618ebe32dc083253993d486211c7e445c8642
SHA512 : 71c2f3ac9955e088fa885fd2ff695e67362a770a5d33e5160081eda3dd298ca2c692e299b03d757caecfbc94043fedc4ad093de84c505585d480cb36bbf978b9

https://cache.ruby-lang.org/pub/ruby/3.3/ruby-3.3.8.zip

TAILLE : 27628937
SHA1   : 4c0d938d2791ab696e921557aec19613bb364a67
SHA256 : 389b8deae02849e769855dea892c921d3387b6548209189837a00f1cdf353797
SHA512 : 1aa6a0412760d0d1f423cd5f02533696b7c952c04f567b89aa875997e1d53a548c294c0b771a9e06e666daab038e3481a6251e361163449f92b02ab3a89a6373

Commentaire sur la version

De nombreux contributeurs, développeurs et utilisateurs ayant fourni des rapports de bugs nous ont aidés à réaliser cette version. Merci pour leurs contributions.

Posté par nagachika le 2025-04-09
Traduit par Florent Drousset