작성자: nevans (2025-04-28)
번역자: shia
net-imap gem에서 DoS 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2025-43857로 등록되었습니다. net-imap gem을 업그레이드하기를 추천합니다.
세부 내용
악의적인 서버가 “문자 그대로” 바이트 수를 보낼 수 있으며, 클라이언트의 수신 스레드는 이 데이터를 자동으로 읽습니다. 응답 리더는 서버 응답에 의해 표시된 바이트 수에 대한 메모리를 즉시 할당합니다. 신뢰할 수 있는 IMAP 서버에 안전하게 연결할 때는 문제가 되지 않습니다. 그러나 보안 연결을 사용하지 않거나, 버그가 있거나, 신뢰할 수 없거나, 오염된 서버(예: 사용자가 제공한 호스트 이름에 연결하는 경우)에서는 문제가 발생할 수 있습니다.
net-imap gem 0.2.5, 0.3.9, 0.4.20, 0.5.7 이상으로 업데이트하세요.
신뢰할 수 없는 서버에 연결하거나 보안 연결을 사용하고 있지 않다면, max_response_size와 응답 핸들러를 적절히 설정하여 메모리 소비를 제한해야 합니다. 자세한 내용은 GHSA-j3g3-5qv5-52mj를 참조하세요.
해당 버전
net-imap gem 0.2.4 이하, 0.3.0부터 0.3.8까지, 0.4.0부터 0.4.19까지, 0.5.0부터 0.5.6까지
도움을 준 사람
이 문제를 발견해 준 Masamune에게 감사를 표합니다.
수정 이력
- 2025-04-28 16:02:04 (UTC) 최초 공개