CVE-2025-24294: resolv gem 中的拒绝服务攻击漏洞

由 mame 发表于 2025-07-08
翻译： GAO Jun

Ruby 绑定的 resolv gem 中发现了一个拒绝服务攻击漏洞。 此漏洞的 CVE 编号为 CVE-2025-24294。 我们建议您更新 resolv gem。

详情

此漏洞源于未有效检验 DNS 包中的域名在解压缩后的长度。

攻击者可以构造一个 DNS 包，其中的域名信息经过高度压缩。 当 resolve 库解析这个包时，由于没有限制域名解压缩后的长度，解压缩进程会消耗大量的 CPU 资源。

这样的资源消耗可能会导致应用程序进程无法响应，从而导致拒绝服务。

受影响版本

此漏洞影响多个 Ruby 版本系列的绑定 resolv gem：

• Ruby 3.2 系列：resolv 0.2.2 及更早版本
• Ruby 3.3 系列：resolv 0.3.0
• Ruby 3.4 系列：resolv 0.6.1 及更早版本

致谢

感谢 Manu 发现此问题。

历史

• 最初发布于 2025-07-08 07:00:00 (UTC)