INFSA-2025:8131: Устранение уязвимостей ruby

Информация о бюллетене

Идентификатор: INFSA-2025:8131

Тип: устранение уязвимостей

Дата публикации: 2025-07-15 19:47:26 UTC

Информация о пакете

Ruby — расширяемый, интерпретируемый, объектно-ориентированный язык сценариев. Позволяет обрабатывать текстовые файлы и выполнять задачи по управлению системой.

Описание уязвимостей

  • CVE-2025-25186

    Уязвимость библиотеки Ruby net-imap вызвана исчерпанием памяти в парсере ответов net-imap. В любой момент, пока клиент подключён, вредоносный сервер может отправить сильно сжатые данные uid-set, которые автоматически считываются получателем клиента. Парсер ответов преобразует данные uid-set в массивы целых чисел без ограничения на расширенный размер диапазонов, что может вызвать исчерпание памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.

  • CVE-2025-27219

    Уязвимость программного средства cgi gem, связанная с неправильная проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.

  • CVE-2025-27221

    Уязвимость программного средства URI gem связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфиденциальной информации.

Уровень опасности

CVE Оценка CVSS 2.0 Оценка CVSS 3.x Оценка CVSS 4.0
нет информации 6.5 нет информации
БДУ — BDU:2025-05128
нет информации 5.3 нет информации
БДУ — BDU:2025-05129
нет информации 3.2 нет информации
Критичный, высокий, средний, низкий

Обновлённые пакеты