CVE-2025-24294：resolv gem 中可能的拒绝服务

由 mame 发布于 2025 年 7 月 8 日

Ruby 内置的 resolv gem 中发现了一个拒绝服务漏洞。该漏洞已被分配 CVE 标识符 CVE-2025-24294。我们建议升级 resolv gem。

详情

该漏洞是由于在 DNS 数据包中对解压后的域名长度检查不足造成的。

攻击者可以构造一个包含高度压缩的域名信息的恶意 DNS 数据包。当 resolv 库解析此类数据包时，域名解压过程会消耗大量 CPU 资源，因为该库没有限制域名解压后的长度。

这种资源消耗可能导致应用程序线程无响应，从而引发拒绝服务状况。

受影响的版本

该漏洞影响以下 Ruby 系列中内置的 resolv gem

• Ruby 3.2 系列：resolv 版本 0.2.2 及更早版本
• Ruby 3.3 系列：resolv 版本 0.3.0
• Ruby 3.4 系列：resolv 版本 0.6.1 及更早版本

致谢

感谢 Manu 发现此问题。

历史

• 首次发布于 2025-07-08 07:00:00 (UTC)