CVE-2025-43857: Уязвимость, приводящая к DoS, в net-imap

Опубликовал nevans 28-04-2025
Перевел: ablzh

Существует возможность DoS-атаки в геме net-imap. Этой уязвимости присвоен идентификатор CVE-2025-43857. Мы рекомендуем обновить гем net-imap.

Подробности

Злоумышленный сервер может отправить «literal» с количеством байт, которое автоматически считывается потоком приёма клиента. Читатель ответа сразу выделяет память под количество байт, указанное в ответе сервера. Это не представляет проблемы при безопасном подключении к доверенным и корректно работающим IMAP-серверам. Уязвимость затрагивает небезопасные соединения и ошибочные, ненадёжные или скомпрометированные серверы (например, при подключении к имени хоста, указанному пользователем).

Пожалуйста обновите гем net-imap до версии 0.2.5, 0.3.9, 0.4.20, 0.5.7, или новее.

При подключении к недоверенным серверам или при использовании небезопасного соединения параметры max_response_size и обработчики ответов должны быть настроены соответствующим образом, чтобы ограничить потребление памяти. Подробности смотрите в GHSA-j3g3-5qv5-52mj.

Затронутые версии

Версии гема net-imap <= 0.2.4, 0.3.0 — 0.3.8, 0.4.0 — 0.4.19, и 0.5.0 — 0.5.6.

Благодарности

Спасибо Masamune за обнаружение этой проблемы.

История

• Первоначально опубликовано: 2025-04-28 16:02:04 (UTC)