CVE-2025-25186: DoS уязвимость в net-imap

Опубликовал nevans 10-02-2025
Перевел: ablzh

Существует вероятность DoS в геме net-imap. Этой уязвимости присвоен CVE идентификатор CVE-2025-25186. Мы рекомендуем обновить гем net-imap.

Подробности

Злонамеренный сервер может отправить сильно сжатые данные uid-set, которые автоматически считываются потоком-получателем клиента. Парсер ответов использует Range#to_a для преобразования данных uid-set в массивы целых чисел без ограничения на развёрнутый размер диапазонов.

Пожалуйста, обновите гем net-imap до версии 0.3.8, 0.4.19, 0.5.6 или более поздней.

Подверженные версии

• Версии гема net-imap с 0.3.2 по 0.3.7, с 0.4.0 по 0.4.18, и с 0.5.0 по 0.5.5 (включительно).

Благодарности

Спасибо manun за обнаружение этой проблемы.

История

• Изначально опубликовано 2025-02-10 03:00:00 (UTC)