CVE-2026-42256

Nome do Software Vulnerável e Versões Afetadas net-imap (versões afetadas não especificadas)

Descrição Um servidor IMAP malicioso pode desencadear um ataque de negação de serviço computacional no processo do cliente durante a autenticação usando SCRAM-SHA1 ou SCRAM-SHA256. Ao enviar uma contagem de iterações PBKDF2 arbitrariamente grande na primeira mensagem do servidor, o servidor força o cliente a executar uma chamada OpenSSL::KDF.pbkdf2 hmac() dispendiosa. Como esta função é uma extensão C bloqueante que retém o Global VM Lock do Ruby (um mecanismo que garante que apenas uma thread execute código Ruby por vez), ela pode congelar toda a VM Ruby e bloquear todas as threads por vários minutos, dependendo do hardware e da versão do OpenSSL.

Recomendações Atualize para uma versão corrigida do net-imap e chame Net::IMAP#authenticate usando um argumento de palavra-chave max iterations definido para um valor seguro e apropriado para o contexto de segurança. Evite usar mecanismos SCRAM-* ao se autenticar em servidores não confiáveis.