Publicado por nevans el 2025-04-28
Traducción de vtamara
Hay una vulnerabilidad de denagación de servicio (DoS) en la gema net-imap. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2025-43857. Recomendamos actualizar la gema net-imap.
Detalles
Un servidor malicioso puede enviar ana cuenta de bytes “literal” que es leída de manera automática por el hilo receptor en el cliente. El lector que responde localiza de inmediato memoria para el número de bytes indicados por la respuesta del servidor. Este no debe ser problema cuando se conecta a un servidor IMAP de confianza que se comporta bien. Afecta conexiones inseguras y con fallas, no confiables o servidores compromeditos (por ejemplo al conectarse a un nombre de servidor proveido por el usuario).
Por favor acutalice la gema net-imap a la versión 0.2.5, 0.3.9, 0.4.20, 0.5.7, o posterior.
Cuando se conecte a servidors no confiables o use una conexión insegura,
max_response_size y los manejadores de respuesta deben configurarse
de manera apropiad para limitar el consumo de memoria.
Ver más detalles en GHSA-j3g3-5qv5-52mj.
Versiones afectadas
Gema net-imap versiones <= 0.2.4, 0.3.0 to 0.3.8, 0.4.0 to 0.4.19, y de 0.5.0 a 0.5.6.
Creditos
Agradecemos a Masamune por descrubrir este problema.
Historia
- Publicado originalmente el 2025-04-28 16:02:04 (UTC)