From bee0e0445803c77fea51392324f24adb7a22ad87 Mon Sep 17 00:00:00 2001 From: kimu805 Date: Thu, 8 May 2025 15:49:12 +0900 Subject: [PATCH 1/2] Translate 2025-04-28-dos-net-imap-cve-2025-43857 (ja) --- .../2025-04-28-dos-net-imap-cve-2025-43857.md | 35 +++++++++++++++++++ 1 file changed, 35 insertions(+) create mode 100644 ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md diff --git a/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md b/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md new file mode 100644 index 0000000000..c98559d6db --- /dev/null +++ b/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md @@ -0,0 +1,35 @@ +--- +layout: news_post +title: "CVE-2025-43857: net-imap gem のDoS脆弱性" +author: "nevans" +translator: "kimu805" +date: 2025-04-28 16:02:04 +0000 +tags: security +lang: ja +--- + +net-imap gem に DoS の脆弱性が発見されました。この脆弱性は[CVE-2025-43857]. として登録されています。net-imap gem のアップグレードを推奨します。 + +## 詳細 + +悪意のあるサーバーが、リテラルなバイト数を指定して送信すると、クライアントの受信スレッドがそれを自動的に読み取ってしまいます。レスポンスリーダーは、サーバーの応答に示されたバイト数に基づいて即座にメモリを確保します。これは、信頼された正常な動作をするIMAPサーバーに安全に接続している場合には問題になりませんが、安全でない接続や、バグのあるサーバー、信頼されていないサーバー、侵害されたサーバー(例えば、ユーザーが指定したホスト名への接続)では問題となる可能性があります。 + +net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降 に更新してください。 + +信頼できないサーバーに接続する場合や、安全でない接続を使用する場合には、`max_response_size` やレスポンスハンドラを適切に設定して、メモリの消費を制限する必要があります。詳細については [GHSA-j3g3-5qv5-52mj] をご覧ください。 + +## 影響を受けるバージョン + +net-imap gem 0.2.4以前のもの、 0.3.0 から 0.3.8まで、 0.4.0 から 0.4.19まで、 0.5.0 から 0.5.6まで + +## クレジット + +この脆弱性情報は[Masamune]氏によって報告されました。 + +## 更新履歴 + +* 2025-04-29 01:02:04 (JST)初版 + +[CVE-2025-43857]: https://www.cve.org/CVERecord?id=CVE-2025-43857 +[GHSA-j3g3-5qv5-52mj]: https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj +[Masamune]: https://hackerone.com/masamune_ From cad0626179fa03045432d7ba8274ea0359553933 Mon Sep 17 00:00:00 2001 From: kimu805 Date: Fri, 9 May 2025 16:27:39 +0900 Subject: [PATCH 2/2] Remove extra spaces etc. --- ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md b/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md index c98559d6db..6bf081166a 100644 --- a/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md +++ b/ja/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md @@ -8,13 +8,13 @@ tags: security lang: ja --- -net-imap gem に DoS の脆弱性が発見されました。この脆弱性は[CVE-2025-43857]. として登録されています。net-imap gem のアップグレードを推奨します。 +net-imap gem に DoS の脆弱性が発見されました。この脆弱性は [CVE-2025-43857] として登録されています。net-imap gem のアップグレードを推奨します。 ## 詳細 悪意のあるサーバーが、リテラルなバイト数を指定して送信すると、クライアントの受信スレッドがそれを自動的に読み取ってしまいます。レスポンスリーダーは、サーバーの応答に示されたバイト数に基づいて即座にメモリを確保します。これは、信頼された正常な動作をするIMAPサーバーに安全に接続している場合には問題になりませんが、安全でない接続や、バグのあるサーバー、信頼されていないサーバー、侵害されたサーバー(例えば、ユーザーが指定したホスト名への接続)では問題となる可能性があります。 -net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降 に更新してください。 +net-imap gem を バージョン 0.2.5、0.3.9、0.4.20、0.5.7、またはそれ以降に更新してください。 信頼できないサーバーに接続する場合や、安全でない接続を使用する場合には、`max_response_size` やレスポンスハンドラを適切に設定して、メモリの消費を制限する必要があります。詳細については [GHSA-j3g3-5qv5-52mj] をご覧ください。