Geschrieben von nevans am 10.2.2025
Übersetzt von Daniel Bovensiepen
Es besteht die Möglichkeit eines DoS Angriffes auf das net-imap Gem. Diese Sicherheitslücke wurde mit der CVE-Kennung CVE-2025-25186 versehen. Wir empfehlen, das net-imap Gem zu aktualisieren.
Details
A malicious server can send highly compressed uid-set data which is automatically read by the client’s receiver thread. The response parser uses Range#to_a to convert the uid-set data into arrays of integers, with no limitation on the expanded size of the ranges.
Details
Ein bösartiger Server kann hochkomprimierte uid-set Daten versenden, welche automatisch vom Empfangsthread des Clients gelesen werden. Der Antwortparser verwendet Range#to_a, um die uid-set Daten in Listen von Ganzzahlen umzuwandeln, dabei gibt es keine Begrenzung der Größe der Range.
Bitte aktualisieren Sie das net-imap-Gem auf Version 0.3.8, 0.4.19, 0.5.6 oder höher..
Betroffene Versionen
- net-imap gem Versionen 0.3.2 to 0.3.7, 0.4.0 to 0.4.18, und 0.5.0 bis 0.5.5 (inklusive).
Danksagung
Danke an manun für das Entdecken dieses Problems.
Veröffentlichungsgeschichte
- Ursprünglich veröffentlicht am 2025-02-10 03:00:00 (UTC)