CVE-2025-43857: DoS-Schwachstelle in net-imap

Gepostet von nevans am 28. Apr. 2025

Es besteht die Möglichkeit einer DoS-Schwachstelle im net-imap Gem. Diese Schwachstelle wurde unter der CVE-ID CVE-2025-43857 registriert. Wir empfehlen ein Upgrade des net-imap Gems.

Details

Ein bösartiger Server kann eine "Literal"-Byteanzahl senden, die automatisch vom Empfangs-Thread des Clients gelesen wird. Der Antwortleser reserviert sofort Speicher für die Anzahl der Bytes, die in der Serverantwort angegeben sind. Dies sollte kein Problem darstellen, wenn man sich sicher mit vertrauenswürdigen und gut funktionierenden IMAP-Servern verbindet. Es betrifft unsichere Verbindungen und fehlerhafte, nicht vertrauenswürdige oder kompromittierte Server (z. B. bei der Verbindung zu einem vom Benutzer angegebenen Hostnamen).

Bitte aktualisieren Sie das net-imap Gem auf Version 0.2.5, 0.3.9, 0.4.20, 0.5.7 oder höher.

Bei der Verbindung zu nicht vertrauenswürdigen Servern oder bei Verwendung einer unsicheren Verbindung müssen max_response_size und die Antwort-Handler entsprechend konfiguriert werden, um den Speicherverbrauch zu begrenzen. Weitere Details finden Sie unter GHSA-j3g3-5qv5-52mj.

Betroffene Versionen

net-imap Gem-Versionen <= 0.2.4, 0.3.0 bis 0.3.8, 0.4.0 bis 0.4.19 und 0.5.0 bis 0.5.6.

Credits

Vielen Dank an Masamune für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2025-04-28 16:02:04 (UTC)