ruby · JuanitoFatas · May 11, 2025 · May 8, 2025 · May 9, 2025 · JuanitoFatas
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2025-43857: net-imap gem のDoS脆弱性"
+author: "nevans"
+translator: "kimu805"
+date: 2025-04-28 16:02:04 +0000
+tags: security
+lang: ja
+---
+
+net-imap gem に DoS の脆弱性が発見されました。この脆弱性は[CVE-2025-43857]. として登録されています。net-imap gem のアップグレードを推奨します。
-net-imap gem に DoS の脆弱性が発見されました。この脆弱性は[CVE-2025-43857]. として登録されています。net-imap gem のアップグレードを推奨します。
+net-imap gem に DoS の脆弱性が発見されました。この脆弱性は [CVE-2025-43857] として登録されています。net-imap gem のアップグレードを推奨します。
-net-imap gem に DoS の脆弱性が発見されました。この脆弱性は[CVE-2025-43857]. として登録されています。net-imap gem のアップグレードを推奨します。
+net-imap gem に DoS の脆弱性が発見されました。この脆弱性は [CVE-2025-43857] として登録されています。net-imap gem のアップグレードを推奨します。
+
+## 詳細
+
+悪意のあるサーバーが、リテラルなバイト数を指定して送信すると、クライアントの受信スレッドがそれを自動的に読み取ってしまいます。レスポンスリーダーは、サーバーの応答に示されたバイト数に基づいて即座にメモリを確保します。これは、信頼された正常な動作をするIMAPサーバーに安全に接続している場合には問題になりませんが、安全でない接続や、バグのあるサーバー、信頼されていないサーバー、侵害されたサーバー（例えば、ユーザーが指定したホスト名への接続）では問題となる可能性があります。
+
+net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降 に更新してください。
-net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降 に更新してください。
+net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降に更新してください。
-net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降 に更新してください。
+net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降に更新してください。
+
+信頼できないサーバーに接続する場合や、安全でない接続を使用する場合には、`max_response_size` やレスポンスハンドラを適切に設定して、メモリの消費を制限する必要があります。詳細については [GHSA-j3g3-5qv5-52mj] をご覧ください。
+
+## 影響を受けるバージョン
+
+net-imap gem  0.2.4以前のもの、 0.3.0 から 0.3.8まで、 0.4.0 から 0.4.19まで、 0.5.0 から 0.5.6まで
+
+## クレジット
+
+この脆弱性情報は[Masamune]氏によって報告されました。
+
+## 更新履歴
+
+* 2025-04-29 01:02:04 (JST)初版
+
+[CVE-2025-43857]:      https://www.cve.org/CVERecord?id=CVE-2025-43857
+[GHSA-j3g3-5qv5-52mj]: https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
+[Masamune]:            https://hackerone.com/masamune_