CVE-2025-24294 : Vulnérabilité de déni de service potentielle dans la gem resolv
Posté par mame le 2025-07-08
Traduit par Florent Drousset
Une vulnérabilité de déni de service (DoS) a été découverte dans la gem resolv fournie avec Ruby.
Cette vulnérabilité a reçu l’identifiant CVE-2025-24294.
Nous recommandons de mettre à jour la gem resolv.
Détails
La vulnérabilité est causée par une vérification insuffisante de la longueur d’un nom de domaine décompressé à l’intérieur d’un paquet DNS.
Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé.
Lorsqu’une bibliothèque resolv analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.
Cette consommation excessive de ressources peut rendre le thread de l’application non réactif, entraînant une situation de déni de service.
Versions affectées
La vulnérabilité affecte la gem resolv fournie avec les séries Ruby suivantes :
- Série Ruby 3.2 :
resolvversion 0.2.2 et antérieures - Série Ruby 3.3 :
resolvversion 0.3.0 - Série Ruby 3.4 :
resolvversion 0.6.1 et antérieures
Remerciements
Merci à Manu pour avoir découvert cette vulnérabilité.
Historique
- Publication initiale le 2025-07-08 07:00:00 (UTC)
Actualité récente
Ruby 3.2.10 est disponible
Ruby 3.2.10 est désormais disponible.
Posté par hsbt le 2026-01-14
Ruby 4.0.1 est disponible
Ruby 4.0.1 est désormais disponible.
Posté par k0kubun le 2026-01-13
Refonte de l'identité visuelle de notre site
Nous sommes ravis d’annoncer une refonte complète de notre site. Le style de cette mise à jour a été créé par Taeko Akatsuka.
Posté par Hiroshi SHIBATA le 2025-12-22
Sortie de Ruby 3.4.4
Ruby 3.4.4 est sorti.
Posté par k0kubun le 2025-05-14