CVE-2025-24294: Можлива відмова в обслуговуванні у gem resolv
Опублікував mame 08-07-2025
Переклав: Andrii Furmanets
Виявлено вразливість відмови в обслуговуванні в gem resolv, що постачається з Ruby.
Цій вразливості присвоєно ідентифікатор CVE CVE-2025-24294.
Рекомендуємо оновити gem resolv.
Деталі
Вразливість спричинена недостатньою перевіркою довжини розпакованого доменного імені в DNS-пакеті.
Зловмисник може сформувати DNS-пакет, що містить сильно стиснене доменне ім’я. Коли бібліотека resolv розбирає такий пакет, процес розпакування імені споживає багато ресурсів CPU, оскільки бібліотека не обмежує кінцеву довжину імені.
Таке споживання ресурсів може призвести до зависання потоку застосунку, що спричиняє стан відмови в обслуговуванні.
Уражені версії
Вразливість зачіпає gem resolv, що постачається з такими гілками Ruby:
- Ruby 3.2: resolv версії 0.2.2 і раніші
- Ruby 3.3: resolv версії 0.3.0
- Ruby 3.4: resolv версії 0.6.1 і раніші
Подяки
Дякуємо Manu за виявлення цієї проблеми.
Історія
- Початково опубліковано 2025-07-08 07:00:00 (UTC)
Останні новини
Вийшов Ruby 3.2.11
Вийшов Ruby 3.2.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820.
Опублікував hsbt 27-03-2026
Вийшов Ruby 3.3.11
Вийшов Ruby 3.3.11. Цей реліз містить оновлення gem zlib, яке усуває CVE-2026-27820, а також кілька виправлень помилок.
Опублікував hsbt 26-03-2026
Вийшов Ruby 4.0.2
Вийшов Ruby 4.0.2.
Опублікував k0kubun 16-03-2026
Вийшов Ruby 3.4.9
Вийшов Ruby 3.4.9.
Опублікував nagachika 11-03-2026