작성자: nevans (2025-02-10)
번역자: shia
net-imap gem에서 DoS 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2025-25186으로 등록되었습니다. net-imap gem을 업그레이드하기를 추천합니다.
세부 내용
악의적인 서버가 고도로 압축된 uid-set 데이터를 보낼 수 있으며, 클라이언트의 수신 스레드는 이 데이터를 자동으로 읽습니다. 응답 파서는 uid-set 데이터를 정수 배열로 변환하기 위해 Range#to_a를 사용하며, 이때 확장된 범위의 크기에 대한 제한이 없습니다.
net-imap gem을 0.3.8, 0.4.19, 또는 0.5.6으로 업데이트하세요.
해당 버전
- net-imap gem 0.3.2부터 0.3.7까지, 0.4.0부터 0.4.18까지, 또는 0.5.0부터 0.5.5까지
도움을 준 사람
이 문제를 발견해 준 manun에게 감사를 표합니다.
수정 이력
- 2025-02-10 03:00:00 (UTC) 최초 공개