CVE-2025-25186: DoS-вразливість у net-imap

Опублікував nevans 10-02-2025
Переклав: Andrii Furmanets

Існує можливість DoS-атаки в gem net-imap. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-25186. Рекомендуємо оновити gem net-imap.

Деталі

Зловмисний сервер може надсилати сильно стиснені дані uid-set, які автоматично читаються потоком отримання клієнта. Парсер відповіді використовує Range#to_a для перетворення даних uid-set на масиви цілих чисел без обмеження розгорнутого розміру діапазонів.

Будь ласка, оновіть gem net-imap до версії 0.3.8, 0.4.19, 0.5.6 або новішої.

Уражені версії

• версії gem net-imap 0.3.2-0.3.7, 0.4.0-0.4.18 та 0.5.0-0.5.5 (включно).

Подяки

Дякуємо manun за виявлення цієї проблеми.

Історія

• Початково опубліковано 2025-02-10 03:00:00 (UTC)