由 mame 发表于 2025-07-08
翻译: GAO Jun
Ruby 绑定的 resolv gem 中发现了一个拒绝服务攻击漏洞。
此漏洞的 CVE 编号为 CVE-2025-24294。
我们建议您更新 resolv gem。
详情
此漏洞源于未有效检验 DNS 包中的域名在解压缩后的长度。
攻击者可以构造一个 DNS 包,其中的域名信息经过高度压缩。
当 resolve 库解析这个包时,由于没有限制域名解压缩后的长度,解压缩进程会消耗大量的 CPU 资源。
这样的资源消耗可能会导致应用程序进程无法响应,从而导致拒绝服务。
受影响版本
此漏洞影响多个 Ruby 版本系列的绑定 resolv gem:
- Ruby 3.2 系列:
resolv0.2.2 及更早版本 - Ruby 3.3 系列:
resolv0.3.0 - Ruby 3.4 系列:
resolv0.6.1 及更早版本
致谢
感谢 Manu 发现此问题。
历史
- 最初发布于 2025-07-08 07:00:00 (UTC)