CVE-2025-25186: net-imap gem の DoS の脆弱性

Posted by nevans on 10 Feb 2025
Translated by shia

net-imap gem に DoS の脆弱性が発見されました。この脆弱性は CVE-2025-25186 として登録されています。net-imap gem のアップグレードを推奨します。

詳細

悪意のあるサーバーはクライアントの受信スレッドによって自動的に読み取られる高度に圧縮された uid-set データを送信することができます。応答パーサーは、uid-set データを整数の配列に変換するために Range#to_a を使用しますが、範囲の展開サイズに制限がありません。

net-imap gem を 0.3.8、0.4.19、0.5.6 またはそれ以降にアップデートしてください。

影響を受けるバージョン

• net-imap gem 0.3.2 から 0.3.7 まで、0.4.0 から 0.4.18 まで、または 0.5.0 から 0.5.5 まで

クレジット

• この脆弱性情報は、manun 氏によって報告されました。

更新履歴

• 2025-02-10 12:00:00 (JST) 初版