由 nevans 發表於 2025-04-28
翻譯: Bear Su
在 net-imap gem 發現可能會造成 DoS 的漏洞。
該漏洞的 CVE 編號為 CVE-2025-43857。
我們建議您升級 net-imap gem。
風險細節
一個惡意伺服器可以發送一個會自動被客戶端的接收者執行緒讀取的 “literal” 位元組大小。
客戶端的接收者會立即為伺服器回應中指示的位元組大小分配記憶體。
在正確使用安全連接到受信任的 IMAP 伺服器時不會造成問題。
這只會影響到不安全的連接和有錯誤的、不受信任的或被攻擊的伺服器(例如,連接到使用者提供的主機名稱)。
請升級 net-imap gem 至版本 0.2.5、0.3.9、0.4.20、0.5.7、或更新版本。
當連接至不受信任的伺服器或使用不安全的連接時,max_response_size 和回應處理必須適當配置以限制記憶體使用量。請參見 GHSA-j3g3-5qv5-52mj 來了解更多。
受影響版本
net-imap gem 版本 <= 0.2.4、0.3.0 至 0.3.8、0.4.0 至 0.4.19、和 0.5.0 至 0.5.6。
致謝
感謝 Masamune 發現此問題。
歷史
- 最初發布於 2025-04-28 16:02:04 (UTC)