File tree 1 file changed +38
-0
lines changed
1 file changed +38
-0
lines changed Original file line number Diff line number Diff line change 1+ ---
2+ layout : news_post
3+ title : " CVE-2025-43857: net-imap 中的 DoS 漏洞"
4+ author : " nevans"
5+ translator : " GAO Jun"
6+ date : 2025-04-28 16:02:04 +0000
7+ tags : security
8+ lang : zh_cn
9+ ---
10+
11+ 在 ` net-imap ` gem 中存在一个可能造成 DoS 的漏洞。此漏洞的 CVE 编号为 [ CVE-2025 -43857] 。我们建议您更新 ` net-imap ` gem。
12+
13+ ## 详情
14+
15+ 恶意服务器可以发送一个 “特定的” 字节数信息,这个数字会被客户端的接收线程自动读取。
16+ 读取后,客户端会立即根据服务器告知的这个字节数分配内存。在安全地连接可信 IMAP 服务器时,这不是一个问题。
17+ 但当使用不安全连接,或连接到有缺陷、不可信或已被入侵的服务器(例如,连接到用户提供的主机名)时,就可能导致 DoS。
18+
19+ 请将 ` net-imap ` gem 更新到 0.2.5、0.3.9、0.4.20、0.5.7 或更高版本。
20+
21+ 当连接不可信的服务器或使用不安全连接时,必须适当设置 ` max_response_size ` 参数,并在响应处理中进行适当调整以限制内存消耗。
22+ 更多详细信息请参阅 [ GHSA-j3g3 -5qv5-52mj] 。
23+
24+ ## 受影响版本
25+
26+ ` net-imap ` gem 版本 <= 0.2.4,0.3.0 至 0.3.8,0.4.0 至 0.4.19,以及 0.5.0 至 0.5.6。
27+
28+ ## 致谢
29+
30+ 感谢 [ Masamune] 发现此问题。
31+
32+ ## 历史
33+
34+ * 最初发布于 2025-04-28 16:02:04 (UTC)
35+
36+ [ CVE-2025-43857 ] : https://www.cve.org/CVERecord?id=CVE-2025-43857
37+ [ GHSA-j3g3-5qv5-52mj ] : https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
38+ [ Masamune ] : https://hackerone.com/masamune_
You can’t perform that action at this time.
0 commit comments