Publicado por nevans el 2025-04-28
Traducción de vtamara
Hay una vulnerabilidad de denegación de servicio (DoS) en la gema net-imap. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2025-43857. Recomendamos actualizar la gema net-imap.
Detalles
Un servidor malicioso puede enviar ana cuenta de bytes “literal” que es leída de manera automática por el hilo receptor en el cliente. El lector que responde localiza de inmediato memoria para el número de bytes indicados por la respuesta del servidor. Este no debe ser problema cuando se conecta a un servidor IMAP de confianza que se comporta bien. Afecta conexiones inseguras y con fallas, no confiables o servidores comprometidos (por ejemplo al conectarse a un nombre de servidor proveido por el usuario).
Por favor actualice la gema net-imap a la versión 0.2.5, 0.3.9, 0.4.20, 0.5.7, o posterior.
Cuando se conecte a servidores no confiables o use una conexión insegura,
max_response_size y los manejadores de respuesta deben configurarse
de manera apropiad para limitar el consumo de memoria.
Ver más detalles en GHSA-j3g3-5qv5-52mj.
Versiones afectadas
Gema net-imap versiones <= 0.2.4, 0.3.0 to 0.3.8, 0.4.0 to 0.4.19, y de 0.5.0 a 0.5.6.
Créditos
Agradecemos a Masamune por descubrir este problema.
Historia
- Publicado originalmente el 2025-04-28 16:02:04 (UTC)