ruby · riseshia · Jul 10, 2025 · Jul 8, 2025 · Jul 8, 2025 · Jul 10, 2025
@@ -0,0 +1,41 @@
+---
+layout: news_post
+title: "CVE-2025-24294: resolv gem의 DoS 가능성"
+author: "mame"
+translator: "shia"
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: ko
+---
+
+Ruby에 포함된 `resolv` gem에서 서비스 거부(DoS) 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2025-24294]로 등록되었습니다.
+resolv gem을 업그레이드하기를 추천합니다.
+
+## 세부 내용
+
+이 취약점은 DNS 패킷 내에서 압축 해제된 도메인 이름의 길이에 대한 불충분한 검사로 인해 발생합니다.
+
+공격자는 고도로 압축된 도메인 이름을 포함하는 악의적인 DNS 패킷을 제작할 수 있습니다.
+resolv 라이브러리가 이러한 패킷을 파싱할 때, 라이브러리가 압축 해제된 이름의 길이를 제한하지 않기 때문에 이름 압축 해제 과정에서 대량의 CPU 리소스를 소모합니다.
+
+이러한 리소스 소모로 인해 애플리케이션 스레드가 응답하지 않게 되어 서비스 거부 상태가 발생할 수 있습니다.
+
+## 해당 버전
+
+해당 취약점은 다음 Ruby 버전대에 포함된 resolv gem에 영향을 미칩니다.
+
+* Ruby 3.2 버전대: `resolv` 0.2.2 이하
+* Ruby 3.3 버전대: `resolv` 0.3.0
+* Ruby 3.4 버전대: `resolv` 0.6.1 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [Manu]에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2025-07-08 07:00:00 (UTC) 최초 공개
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun