net-imap vulnerable to denial of service via high iteration count for `SCRAM-*` authentication — CVE-2026-42256

GitHub · GitHub · CVE-2026-42256

ID
CVE-2026-42256

Date
2026-05-05

Mis à jour
2026-05-13

Activity
2026-05-13

Source
GitHub

Fournisseur
GitHub

Risque
medium

CVSS
6

EPSS
0.0005

Résumé

### Summary When authenticating a connection with `SCRAM-SHA1` or `SCRAM-SHA256`, a hostile server can perform a computational denial-of-service attack on the client process by sending a big iteration count value. ### Details A hostile IMAP server can send an arbitrarily large PBKDF2 iteration count in the SCRAM server-first-message, causing the client to perform an expensive `OpenSSL::KDF.pbkdf2_hmac` call.…

Produit

rubygems: net-imap

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.