Posted by nevans on 28 Apr 2025
Translated by kimu805
net-imap gem に DoS の脆弱性が発見されました。この脆弱性は CVE-2025-43857 として登録されています。net-imap gem のアップグレードを推奨します。
詳細
悪意のあるサーバーが、リテラルなバイト数を指定して送信すると、クライアントの受信スレッドがそれを自動的に読み取ってしまいます。レスポンスリーダーは、サーバーの応答に示されたバイト数に基づいて即座にメモリを確保します。これは、信頼された正常な動作をするIMAPサーバーに安全に接続している場合には問題になりませんが、安全でない接続や、バグのあるサーバー、信頼されていないサーバー、侵害されたサーバー(例えば、ユーザーが指定したホスト名への接続)では問題となる可能性があります。
net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降に更新してください。
信頼できないサーバーに接続する場合や、安全でない接続を使用する場合には、max_response_size やレスポンスハンドラを適切に設定して、メモリの消費を制限する必要があります。詳細については GHSA-j3g3-5qv5-52mj をご覧ください。
影響を受けるバージョン
net-imap gem 0.2.4以前のもの、 0.3.0 から 0.3.8まで、 0.4.0 から 0.4.19まで、 0.5.0 から 0.5.6まで
クレジット
この脆弱性情報はMasamune氏によって報告されました。
更新履歴
- 2025-04-29 01:02:04 (JST)初版