Publicado por mame el 2025-07-08
Traducción de vtamara
Una vulnerabilidad de denegación de servicio ha sido descubierta en la
gema resolv incluida con Ruby.
A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2025-24294. Recomendamos actualizar la gema resolv.
Detalles
La vulnerabilidad es causada por un chequeo deficiente de la longitud de un nombre de dominio descomprimido dentro de un paquete DNS.
Una atacante puede diseñar un paquete DNS malicioso que contenga un nombre de dominio altamente comprimido. Cuando la librería resolv analice tal paquete, el proceso de descompresión del nombre consumirá gran cantidad de recursos de la CPU, por cuanto la librería no limita la longitud del nombre resultante.
Este consumo de recursos puede hacer que el hilo de la aplicación deje de responder, resultando en una condición de Denegación de Servicio.
Versiones afectadas
La vulnerabilidad afecta la gema resolv incluida con las siguientes series de Ruby:
- Serie Ruby 3.2: resolv versión 0.2.2 y anteriores
- Serie Ruby 3.3: resolv versión 0.3.0
- Serie Ruby 3.4: resolv versión 0.6.1 y anteriores
Créditos
Agradecemos a Manu por descubrir este problema.
Historia
- Publicado originalmente el 2025-07-08 07:00:00 (UTC)