ruby · ablzh · Nov 5, 2025 · Nov 6, 2025 · Nov 6, 2025 · Nov 6, 2025
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2025-43857: Уязвимость, приводящая к DoS, в net-imap"
+author: "nevans"
+translator: "ablzh"
+date: 2025-04-28 16:02:04 +0000
+tags: security
+lang: ru
+---
+Существует возможность DoS-атаки в геме net-imap. Этой уязвимости присвоен идентификатор [CVE-2025-43857]. Мы рекомендуем обновить гем net-imap.
+
+## Подробности
+
+Злоумышленный сервер может отправить «literal» с количеством байт, которое автоматически считывается потоком приёма клиента. Читатель ответа сразу выделяет память под количество байт, указанное в ответе сервера. Это не представляет проблемы при безопасном подключении к доверенным и корректно работающим IMAP-серверам. Уязвимость затрагивает небезопасные соединения и ошибочные, ненадёжные или скомпрометированные серверы (например, при подключении к имени хоста, указанному пользователем).
+
+Пожалуйста обновите гем net-imap до версии 0.2.5, 0.3.9, 0.4.20, 0.5.7, или новее.
+
+При подключении к недоверенным серверам или при использовании небезопасного соединения параметры `max_response_size` и обработчики ответов должны быть настроены соответствующим образом, чтобы ограничить потребление памяти. Подробности смотрите в [GHSA-j3g3-5qv5-52mj].
+
+
+## Затронутые версии
+
+Версии гема net-imap <= 0.2.4, 0.3.0 — 0.3.8, 0.4.0 — 0.4.19, и 0.5.0 — 0.5.6.
+
+## Благодарности
+
+Спасибо [Masamune] за обнаружение этой проблемы.
+
+## История
+
+* Первоначально опубликовано: 2025-04-28 16:02:04 (UTC)
+
+[CVE-2025-43857]:      https://www.cve.org/CVERecord?id=CVE-2025-43857
+[GHSA-j3g3-5qv5-52mj]: https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
+[Masamune]:            https://hackerone.com/masamune_
@@ -0,0 +1,39 @@
+---
+layout: news_post
+title: "CVE-2025-24294: Возможен отказ в обслуживании (DoS) в гемe resolv"
+author: "mame"
+translator: "ablzh"
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: ru
+---
+
+В гемe `resolv`, входящем в стандартную поставку Ruby, обнаружена уязвимость, которая может привести к отказу в обслуживании (DoS).
+Этой уязвимости присвоен CVE идентификатор [CVE-2025-24294].
+Рекомендуется обновить гем resolv.
+
+## Подробности
+
+Уязвимость вызвана недостаточной проверкой длины распакованного доменного имени внутри DNS-пакета.
+
+Злоумышленник может сформировать вредоносный DNS-пакет, содержащий сильно сжатое доменное имя. При разборе такого пакета библиотека resolv выполняет процесс декомпрессии имени, который потребляет значительные ресурсы процессора, поскольку библиотека не ограничивает итоговую длину имени.
+
+Это чрезмерное использование ресурсов может привести к зависанию потока приложения и, как следствие, вызвать состояние отказа в обслуживании (Denial of Service).
+
+## Затронутые версии
+
+Уязвимость присутствует в гемe resolv, входящем в следующие серии Ruby:
+* Ruby 3.2: resolv версии 0.2.2 и более ранние
+* Ruby 3.3: resolv версии 0.3.0
+* Ruby 3.4: resolv версии 0.6.1 и более ранние
+
+## Благодарности
+
+Благодарим [Manu] за обнаружение этой уязвимости.
+
+## История
+
+* Впервые опубликовано: 2025-07-08 07:00:00 (UTC)
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Вышел Ruby 3.4.5"
+author: k0kubun
+translator: "ablzh"
+date: 2025-07-15 17:00:00 +0000
+lang: ru
+---
+
+Вышла новая версия Ruby 3.4.5.
+
+Это плановое обновление, включающее исправления ошибок и поддержку GCC 15. Подробности можно найти в
+[заметках о релизе на GitHub](https://github.com/ruby/ruby/releases/tag/v3_4_5).
+
+## График релизов
+Мы планируем выпускать последнюю стабильную версию Ruby (в настоящее время Ruby 3.4) каждые два месяца после предыдущего релиза.
+Ruby 3.4.6 запланирован на сентябрь, 3.4.7 — на ноябрь, а 3.4.8 — на январь.
+
+Если произойдут изменения, которые существенно влияют на пользователей, релиз может выйти раньше запланированного, а график выпусков будет скорректирован соответствующим образом.
+
+## Скачать
+
+{% assign release = site.data.releases | where: "version", "3.4.5" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Комментарий к релизу
+
+Многие коммиттеры, разработчики и пользователи, сообщавшие об ошибках, помогли подготовить этот релиз.
+Спасибо всем за их вклад.
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Вышел Ruby 3.2.9"
+author: "hsbt"
+translator: "ablzh"
+date: 2025-07-24 08:51:53 +0000
+lang: ru
+---
+
+Вышла новая версия Ruby 3.2.9.
+
+В этот релиз вошли следующие исправления уязвимостей безопасности:
+
+* [CVE-2025-24294: Возможен отказ в обслуживании (DoS) в геме resolv](https://www.ruby-lang.org/ru/news/2025/07/08/dos-resolv-cve-2025-24294/)
+* [CVE-2025-43857: Уязвимость, приводящая к DoS, в net-imap](https://www.ruby-lang.org/ru/news/2025/04/28/dos-net-imap-cve-2025-43857/)
+
+а также следующие исправления проблем со сборкой:
+
+* GCC 15.1
+* Visual Studio 2022 Version 17.14
+
+Подробности можно найти в [заметках о релизе на GitHub](https://github.com/ruby/ruby/releases/tag/v3_2_9).
+
+## Скачать
+
+{% assign release = site.data.releases | where: "version", "3.2.9" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Комментарий к релизу
+
+Многие коммиттеры, разработчики и пользователи, присылавшие отчёты об ошибках, помогли нам подготовить этот релиз.
+Спасибо всем за их вклад!
@@ -0,0 +1,51 @@
+---
+layout: news_post
+title: "Вышел Ruby 3.3.9"
+author: nagachika
+translator: "ablzh"
+date: 2025-07-24 11:00:00 +0000
+lang: ru
+---
+
+Вышла новая версия Ruby 3.3.9.
+
+В этот релиз вошло следующее исправление уязвимости безопасности в стандартных гемах:
+
+* [CVE-2025-24294: Возможен отказ в обслуживании (DoS) в гемe resolv](/ru/news/2025/07/08/dos-resolv-cve-2025-24294/)
+
+а также добавлены исправления проблем со сборкой под:
+
+* GCC 15.1
+* Visual Studio 2022 Version 17.14
+
+ Подробности можно найти в [заметках о релизе на GitHub](https://github.com/ruby/ruby/releases/tag/v3_3_9).
+
+## Скачать
+
+{% assign release = site.data.releases | where: "version", "3.3.9" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Комментарий к релизу
+
+Многие коммиттеры, разработчики и пользователи, отправлявшие отчёты об ошибках, помогли нам подготовить этот релиз.
+Спасибо всем за вклад в развитие Ruby.