CVE-2025-24294: Можлива відмова в обслуговуванні у gem resolv

Опублікував mame 08-07-2025
Переклав: Andrii Furmanets

Виявлено вразливість відмови в обслуговуванні в gem resolv, що постачається з Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-24294. Рекомендуємо оновити gem resolv.

Деталі

Вразливість спричинена недостатньою перевіркою довжини розпакованого доменного імені в DNS-пакеті.

Зловмисник може сформувати DNS-пакет, що містить сильно стиснене доменне ім’я. Коли бібліотека resolv розбирає такий пакет, процес розпакування імені споживає багато ресурсів CPU, оскільки бібліотека не обмежує кінцеву довжину імені.

Таке споживання ресурсів може призвести до зависання потоку застосунку, що спричиняє стан відмови в обслуговуванні.

Уражені версії

Вразливість зачіпає gem resolv, що постачається з такими гілками Ruby:

• Ruby 3.2: resolv версії 0.2.2 і раніші
• Ruby 3.3: resolv версії 0.3.0
• Ruby 3.4: resolv версії 0.6.1 і раніші

Подяки

Дякуємо Manu за виявлення цієї проблеми.

Історія

• Початково опубліковано 2025-07-08 07:00:00 (UTC)