CVE-2025-25186: DoS-вразливість у net-imap
Опублікував nevans 10-02-2025
Переклав: Andrii Furmanets
Існує можливість DoS-атаки в gem net-imap. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-25186. Рекомендуємо оновити gem net-imap.
Деталі
Зловмисний сервер може надсилати сильно стиснені дані uid-set, які автоматично читаються потоком отримання клієнта. Парсер відповіді використовує Range#to_a для перетворення даних uid-set на масиви цілих чисел без обмеження розгорнутого розміру діапазонів.
Будь ласка, оновіть gem net-imap до версії 0.3.8, 0.4.19, 0.5.6 або новішої.
Уражені версії
- версії gem net-imap 0.3.2-0.3.7, 0.4.0-0.4.18 та 0.5.0-0.5.5 (включно).
Подяки
Дякуємо manun за виявлення цієї проблеми.
Історія
- Початково опубліковано 2025-02-10 03:00:00 (UTC)
Останні новини
Вийшов Ruby 3.2.11
Вийшов Ruby 3.2.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820.
Опублікував hsbt 27-03-2026
Вийшов Ruby 3.3.11
Вийшов Ruby 3.3.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820, а також кілька виправлень помилок.
Опублікував hsbt 26-03-2026
Вийшов Ruby 4.0.2
Вийшов Ruby 4.0.2.
Опублікував k0kubun 16-03-2026
Вийшов Ruby 3.4.9
Вийшов Ruby 3.4.9.
Опублікував nagachika 11-03-2026