Posté par mame le 2025-07-08
Traduit par Florent Drousset

Une vulnérabilité de déni de service (DoS) a été découverte dans la gem resolv fournie avec Ruby. Cette vulnérabilité a reçu l’identifiant CVE-2025-24294. Nous recommandons de mettre à jour la gem resolv.

Détails

La vulnérabilité est causée par une vérification insuffisante de la longueur d’un nom de domaine décompressé à l’intérieur d’un paquet DNS.

Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé. Lorsqu’une bibliothèque resolv analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.

Cette consommation excessive de ressources peut rendre le thread de l’application non réactif, entraînant une situation de déni de service.

Versions affectées

La vulnérabilité affecte la gem resolv fournie avec les séries Ruby suivantes :

• Série Ruby 3.2 : resolv version 0.2.2 et antérieures
• Série Ruby 3.3 : resolv version 0.3.0
• Série Ruby 3.4 : resolv version 0.6.1 et antérieures

Remerciements

Merci à Manu pour avoir découvert cette vulnérabilité.

Historique

• Publication initiale le 2025-07-08 07:00:00 (UTC)

Syndication

Actualité récente (RSS)