## zlib 安全漏洞 CVE-2026-27171：crc32_combine 函数存在CPU耗尽风险
广泛使用的数据压缩库 zlib 曝出新的安全漏洞 CVE-2026-27171，该漏洞可能导致受影响系统出现CPU资源耗尽。漏洞根源在于 `crc32_combine64` 和 `crc32_combine_gen64` 函数中，`x2nmodp` 函数可能在一个没有终止条件的循环内执行右移操作。这意味着，在特定条件下，处理恶意构造的输入数据可能触发无限循环或极高的CPU占用，从而引发拒绝服务（DoS）风险。

该漏洞已在 zlib 1.3.2 版本中得到修复。维护者 Mark Adler 已在 GitHub 上提交了修复代码。所有依赖 zlib 进行数据压缩或校验和计算的软件项目，特别是那些处理不可信输入的网络服务、应用程序和嵌入式系统，都需要评估其受影响程度。鉴于 zlib 在无数软件栈中的基础性地位，此漏洞的影响范围可能非常广泛。

开发者和系统管理员应立即检查其项目中所使用的 zlib 版本，并计划升级至 1.3.2 或应用相关补丁。在升级后，进行构建验证和充分的测试至关重要，以确保修复不会引入兼容性问题或影响现有功能。对于无法立即升级的环境，需要评估并实施其他缓解措施，例如限制输入或监控异常资源消耗。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2026-27171, 安全漏洞, 拒绝服务, 软件供应链, 开源安全
- **Credibility**: unverified
- **Published**: 2026-04-16 21:22:55
- **ID**: 68178
- **URL**: https://whisperx.ai/en/intel/68178