由 mame 發表於 2025-07-08
翻譯: Bear Su
在 Ruby 所包含的 resolv gem 中發現了一個服務阻斷漏洞。
該漏洞的 CVE 編號為 CVE-2025-24294。
我們建議您升級 resolv gem。
風險細節
該漏洞是由於在 DNS 封包中解壓縮的域名長度檢查不足所引起的。
攻擊者可以製作一個包含高度壓縮域名的惡意 DNS 封包。
當 resolv 函式庫解析這樣的封包時,域名解壓縮過程會消耗大量的 CPU 資源,因為該函式庫沒有限制域名解壓縮後的長度。
這可能導致應用程式執行緒無法回應,從而造成服務阻斷。
受影響版本
以下 Ruby 系列包含了受影響版本的 resolv gem:
- Ruby 3.2 系列:resolv 版本 0.2.2 和較早版本
- Ruby 3.3 系列:resolv 版本 0.3.0
- Ruby 3.4 系列:resolv 版本 0.6.1 和較早版本
致謝
感謝 Manu 發現此問題。
歷史
- 最初發布於 2025-07-08 07:00:00 (UTC)