작성자: mame (2025-07-08)
번역자: shia
Ruby에 포함된 resolv gem에서 서비스 거부(DoS) 취약점이 발견되었습니다.
이 취약점은 CVE 번호 CVE-2025-24294로 등록되었습니다.
resolv gem을 업그레이드하기를 추천합니다.
세부 내용
이 취약점은 DNS 패킷 내에서 압축 해제된 도메인 이름의 길이에 대한 불충분한 검사로 인해 발생합니다.
공격자는 고도로 압축된 도메인 이름을 포함하는 악의적인 DNS 패킷을 제작할 수 있습니다. resolv 라이브러리가 이러한 패킷을 파싱할 때, 라이브러리가 압축 해제된 이름의 길이를 제한하지 않기 때문에 이름 압축 해제 과정에서 대량의 CPU 리소스를 소모합니다.
이러한 리소스 소모로 인해 애플리케이션 스레드가 응답하지 않게 되어 서비스 거부 상태가 발생할 수 있습니다.
해당 버전
해당 취약점은 다음 Ruby 버전대에 포함된 resolv gem에 영향을 미칩니다.
- Ruby 3.2 버전대:
resolv0.2.2 이하 - Ruby 3.3 버전대:
resolv0.3.0 - Ruby 3.4 버전대:
resolv0.6.1 이하
도움을 준 사람
이 문제를 발견해 준 Manu에게 감사를 표합니다.
수정 이력
- 2025-07-08 07:00:00 (UTC) 최초 공개