CVE-2025-24294: Возможен отказ в обслуживании (DoS) в гемe resolv

Опубликовал mame 08-07-2025
Перевел: ablzh

В гемe resolv, входящем в стандартную поставку Ruby, обнаружена уязвимость, которая может привести к отказу в обслуживании (DoS). Этой уязвимости присвоен CVE идентификатор CVE-2025-24294. Рекомендуется обновить гем resolv.

Подробности

Уязвимость вызвана недостаточной проверкой длины распакованного доменного имени внутри DNS-пакета.

Злоумышленник может сформировать вредоносный DNS-пакет, содержащий сильно сжатое доменное имя. При разборе такого пакета библиотека resolv выполняет процесс декомпрессии имени, который потребляет значительные ресурсы процессора, поскольку библиотека не ограничивает итоговую длину имени.

Это чрезмерное использование ресурсов может привести к зависанию потока приложения и, как следствие, вызвать состояние отказа в обслуживании (Denial of Service).

Затронутые версии

Уязвимость присутствует в гемe resolv, входящем в следующие серии Ruby:

• Ruby 3.2: resolv версии 0.2.2 и более ранние
• Ruby 3.3: resolv версии 0.3.0
• Ruby 3.4: resolv версии 0.6.1 и более ранние

Благодарности

Благодарим Manu за обнаружение этой уязвимости.

История

• Впервые опубликовано: 2025-07-08 07:00:00 (UTC)