Skip to content

Commit 70d6934

Browse files
florentdroussetflorentdrousset
authored
Merge pull request #3613 from florentdrousset/patch-9
Translation of CVE-2025-43857 vulnerability report for net-imap in fr
2 parents 3e54d33 + 90f84c1 commit 70d6934

File tree

1 file changed

+42
-0
lines changed

1 file changed

+42
-0
lines changed

fr/news/_posts/2025-04-28-dos-net-imap-cve-2025-43857.md

Lines changed: 42 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,42 @@
1+
---
2+
layout: news_post
3+
title: "CVE-2025-43857 : vulnérabilité DoS dans net-imap"
4+
author: "nevans"
5+
translator: Florent Drousset
6+
date: 2025-04-28 16:02:04 +0000
7+
tags: security
8+
lang: fr
9+
---
10+
11+
Il existe une possibilité d’attaque par déni de service (DoS) dans la gem net-imap.
12+
Cette vulnérabilité a reçu l’identifiant CVE [CVE-2025-43857].
13+
Nous recommandons de mettre à jour la gem net-imap.
14+
15+
## Détails
16+
17+
Un serveur malveillant peut envoyer un compteur d’octets « literal » qui est automatiquement lu par le thread récepteur du client.
18+
Le lecteur de réponses alloue immédiatement la mémoire correspondant au nombre d’octets indiqué par la réponse du serveur.
19+
Cela ne pose pas de problème lors d’une connexion sécurisée à des serveurs IMAP de confiance et bien configurés.
20+
En revanche, cela affecte les connexions non sécurisées et les serveurs défectueux, non fiables ou compromis (par exemple, une connexion vers un nom d’hôte fourni par un utilisateur).
21+
22+
Veuillez mettre à jour la gem net-imap vers la version 0.2.5, 0.3.9, 0.4.20, 0.5.7 ou ultérieure.
23+
24+
Lors d’une connexion à des serveurs non fiables ou en utilisant une connexion non sécurisée, il est nécessaire de configurer correctement `max_response_size` et les gestionnaires de réponses afin de limiter la consommation mémoire.
25+
Voir [GHSA-j3g3-5qv5-52mj] pour plus de détails.
26+
27+
## Versions affectées
28+
29+
Les versions de la gem net-imap affectées sont :
30+
<= 0.2.4, 0.3.0 à 0.3.8, 0.4.0 à 0.4.19, et 0.5.0 à 0.5.6.
31+
32+
## Crédits
33+
34+
Merci à [Masamune] pour avoir découvert ce problème.
35+
36+
## Historique
37+
38+
* Publié initialement le 2025-04-28 16:02:04 (UTC)
39+
40+
[CVE-2025-43857]: https://www.cve.org/CVERecord?id=CVE-2025-43857
41+
[GHSA-j3g3-5qv5-52mj]: https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
42+
[Masamune]: https://hackerone.com/masamune_

0 commit comments

Comments
 (0)