CVE-2025-25186: DoS Sicherheitslücke in net-imap

Geschrieben von nevans am 10.2.2025
Übersetzt von Daniel Bovensiepen

Es besteht die Möglichkeit eines DoS Angriffes auf das net-imap Gem. Diese Sicherheitslücke wurde mit der CVE-Kennung CVE-2025-25186 versehen. Wir empfehlen, das net-imap Gem zu aktualisieren.

Details

A malicious server can send highly compressed uid-set data which is automatically read by the client’s receiver thread. The response parser uses Range#to_a to convert the uid-set data into arrays of integers, with no limitation on the expanded size of the ranges.

Details

Ein bösartiger Server kann hochkomprimierte uid-set Daten versenden, welche automatisch vom Empfangsthread des Clients gelesen werden. Der Antwortparser verwendet Range#to_a, um die uid-set Daten in Listen von Ganzzahlen umzuwandeln, dabei gibt es keine Begrenzung der Größe der Range.

Bitte aktualisieren Sie das net-imap-Gem auf Version 0.3.8, 0.4.19, 0.5.6 oder höher..

Betroffene Versionen

• net-imap gem Versionen 0.3.2 to 0.3.7, 0.4.0 to 0.4.18, und 0.5.0 bis 0.5.5 (inklusive).

Danksagung

Danke an manun für das Entdecken dieses Problems.

Veröffentlichungsgeschichte

• Ursprünglich veröffentlicht am 2025-02-10 03:00:00 (UTC)