CVE-2025-43857: DoS-вразливість у net-imap

Опублікував nevans 28-04-2025
Переклав: Andrii Furmanets

Існує можливість DoS-атаки в gem net-imap. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-43857. Рекомендуємо оновити gem net-imap.

Деталі

Зловмисний сервер може надіслати “literal” лічильник байтів, який автоматично читається потоком отримання клієнта. Читач відповіді негайно виділяє пам’ять для кількості байтів, указаних у відповіді сервера. Це не повинно бути проблемою при безпечному підключенні до надійних IMAP-серверів із коректною поведінкою. Вразливість стосується небезпечних підключень і помилкових, ненадійних або скомпрометованих серверів (наприклад, підключення до хоста, заданого користувачем).

Будь ласка, оновіть gem net-imap до версії 0.2.5, 0.3.9, 0.4.20, 0.5.7 або новішої.

Під час підключення до ненадійних серверів або використання небезпечного з’єднання max_response_size і обробники відповідей мають бути налаштовані відповідно для обмеження споживання пам’яті. Докладніше див. GHSA-j3g3-5qv5-52mj.

Уражені версії

версії gem net-imap <= 0.2.4, 0.3.0-0.3.8, 0.4.0-0.4.19 та 0.5.0-0.5.6.

Подяки

Дякуємо Masamune за виявлення цієї проблеми.

Історія

• Початково опубліковано 2025-04-28 16:02:04 (UTC)