CVE-2025-24294: resolv gem 中的拒绝服务攻击漏洞

Ruby 绑定的 resolv gem 中发现了一个拒绝服务攻击漏洞。 此漏洞的 CVE 编号为 CVE-2025-24294。 我们建议您更新 resolv gem。

详情

此漏洞源于未有效检验 DNS 包中的域名在解压缩后的长度。

攻击者可以构造一个 DNS 包,其中的域名信息经过高度压缩。 当 resolve 库解析这个包时,由于没有限制域名解压缩后的长度,解压缩进程会消耗大量的 CPU 资源。

这样的资源消耗可能会导致应用程序进程无法响应,从而导致拒绝服务。

受影响版本

此漏洞影响多个 Ruby 版本系列的绑定 resolv gem:

  • Ruby 3.2 系列:resolv 0.2.2 及更早版本
  • Ruby 3.3 系列:resolv 0.3.0
  • Ruby 3.4 系列:resolv 0.6.1 及更早版本

致谢

感谢 Manu 发现此问题。

历史

  • 最初发布于 2025-07-08 07:00:00 (UTC)