|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "CVE-2025-24294: Posible Denegación de Servicio en la gema resolv" |
| 4 | +author: "mame" |
| 5 | +translator: vtamara |
| 6 | +date: 2025-07-08 07:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: es |
| 9 | +--- |
| 10 | + |
| 11 | +Una vulnerabilidad de denegación de servicio ha sido descubierta en la |
| 12 | +gema `resolv` incluida con Ruby. |
| 13 | + |
| 14 | +A esta vulnerabilidad se le ha asignado el identificador CVE |
| 15 | +[CVE-2025-24294]. |
| 16 | +Recomendamos actualizar la gema resolv. |
| 17 | + |
| 18 | +## Detalles |
| 19 | + |
| 20 | +La vulnerabilidad es causada por un chequeo deficiente de la longitud |
| 21 | +de un nombre de dominio descomprimido dentro de un paquete DNS. |
| 22 | + |
| 23 | +Una atacante puede diseñar un paquete DNS malicioso que contenga |
| 24 | +un nombre de dominio altamente comprimido. |
| 25 | +Cuando la librería resolv analice tal paquete, el proceso de |
| 26 | +descompresión del nombre consumirá gran cantidad de recursos |
| 27 | +de la CPU, por cuanto la librería no limita la longitud del |
| 28 | +nombre resultante. |
| 29 | + |
| 30 | +Este consumo de recursos puede hacer que el hilo de la aplicación |
| 31 | +deje de responder, resultando en una condición de Denegación |
| 32 | +de Servicio. |
| 33 | + |
| 34 | +## Versiones afectadas |
| 35 | + |
| 36 | +La vulnerabilidad afecta la gema resolv incluida con las siguientes series |
| 37 | +de Ruby: |
| 38 | + |
| 39 | +* Serie Ruby 3.2: resolv versión 0.2.2 y anteriores |
| 40 | +* Serie Ruby 3.3: resolv versión 0.3.0 |
| 41 | +* Serie Ruby 3.4: resolv versión 0.6.1 y anteriores |
| 42 | + |
| 43 | +## Créditos |
| 44 | + |
| 45 | +Agradecemos a [Manu] por descubrir este problema. |
| 46 | + |
| 47 | +## Historia |
| 48 | + |
| 49 | +* Publicado originalmente el 2025-07-08 07:00:00 (UTC) |
| 50 | + |
| 51 | +[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294 |
| 52 | +[Manu]: https://hackerone.com/manun |
0 commit comments