CVE-2025-24294: Можлива відмова в обслуговуванні у gem resolv
Опублікував mame 08-07-2025
Переклав: Andrii Furmanets
Виявлено вразливість відмови в обслуговуванні в gem resolv, що постачається з Ruby.
Цій вразливості присвоєно ідентифікатор CVE CVE-2025-24294.
Рекомендуємо оновити gem resolv.
Деталі
Вразливість спричинена недостатньою перевіркою довжини розпакованого доменного імені в DNS-пакеті.
Зловмисник може сформувати DNS-пакет, що містить сильно стиснене доменне ім’я. Коли бібліотека resolv розбирає такий пакет, процес розпакування імені споживає багато ресурсів CPU, оскільки бібліотека не обмежує кінцеву довжину імені.
Таке споживання ресурсів може призвести до зависання потоку застосунку, що спричиняє стан відмови в обслуговуванні.
Уражені версії
Вразливість зачіпає gem resolv, що постачається з такими гілками Ruby:
- Ruby 3.2: resolv версії 0.2.2 і раніші
- Ruby 3.3: resolv версії 0.3.0
- Ruby 3.4: resolv версії 0.6.1 і раніші
Подяки
Дякуємо Manu за виявлення цієї проблеми.
Історія
- Початково опубліковано 2025-07-08 07:00:00 (UTC)
Останні новини
Оновлення айдентики нашого сайту
Раді оголосити про комплексне оновлення нашого сайту. Дизайн для цього оновлення створила Taeko Akatsuka.
Опублікував Hiroshi SHIBATA 22-12-2025
Вийшов Ruby 4.0.0 preview3
Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.
Опублікував naruse 18-12-2025
Вийшов Ruby 3.4.8
Вийшов Ruby 3.4.8.
Опублікував k0kubun 17-12-2025
Вийшов Ruby 4.0.0 preview2
Раді повідомити про вихід Ruby 4.0.0-preview2. Ruby 4.0 оновлює версію Unicode до 17,0.0 тощо.
Опублікував naruse 17-11-2025