CVE-2025-43857：net-imap 中的拒绝服务漏洞

由 nevans 发布于 2025 年 4 月 28 日

net-imap gem 中存在拒绝服务（DoS）的可能性。此漏洞已被分配 CVE 标识符 CVE-2025-43857。我们建议升级 net-imap gem。

详情

恶意服务器可以发送一个“字面量”字节计数，该计数会被客户端的接收器线程自动读取。响应读取器会立即为服务器响应指示的字节数分配内存。当安全连接到信誉良好且行为正常的 IMAP 服务器时，这通常不是问题。它会影响不安全的连接以及有错误、不可信或被泄露的服务器（例如，连接到用户提供的服务器主机名）。

请将 net-imap gem 更新到版本 0.2.5、0.3.9、0.4.20、0.5.7 或更高版本。

连接到不可信服务器或使用不安全连接时，必须正确配置 `max_response_size` 和响应处理程序，以限制内存消耗。有关更多详细信息，请参阅 GHSA-j3g3-5qv5-52mj。

net-imap gem 版本 <= 0.2.4、0.3.0 至 0.3.8、0.4.0 至 0.4.19 和 0.5.0 至 0.5.6。

感谢 Masamune 发现此问题。

我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”，并增加了许多改进。

由 naruse 发布于 2025 年 12 月 25 日

继 ruby-lang.org 重新设计之后，我们还有更多好消息来庆祝 Ruby 成立 30 周年：docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题，焕然一新。

由 Stan Lo 发布于 2025 年 12 月 23 日

我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。

由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日

我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”，并增加了许多改进。

由 naruse 发布于 2025 年 12 月 18 日