ruby · vtamara · Jul 19, 2025 · Jul 17, 2025 · Jul 19, 2025 · Jul 19, 2025
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "CVE-2025-24294: Posible Denegación de Servicio en la gema resolv"
+author: "mame"
+translator: vtamara
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: es
+---
+
+Una vulnerabilidad de denegación de servicio ha sido descubierta en la
+gema `resolv` incluida con Ruby.
+
+A esta vulnerabilidad se le ha asignado el identificador CVE
+[CVE-2025-24294].
+Recomendamos actualizar la gema resolv.
+
+## Detalles
+
+La vulnerabilidad es causada por un chequeo deficiente de la longitud
+de un nombre de dominio descomprimido dentro de un paquete DNS.
+
+Una atacante puede diseñar un paquete DNS malicioso que contenga
+un nombre de dominio altamente comprimido.
+Cuando la librería resolv analice tal paquete, el proceso de
+descompresión del nombre consumirá gran cantidad de recursos
+de la CPU, por cuanto la librería no limita la longitud del
+nombre resultante.
+
+Este consumo de recursos puede hacer que el hilo de la aplicación
+deje de responder, resultando en una condición de Denegación
+de Servicio.
+
+## Versiones afectadas
+
+La vulnerabilidad afecta la gema resolv incluida con las siguientes series
+de Ruby:
+
+* Serie Ruby 3.2: resolv versión 0.2.2 y anteriores
+* Serie Ruby 3.3: resolv versión 0.3.0
+* Serie Ruby 3.4: resolv versión 0.6.1 y anteriores
+
+## Créditos
+
+Agradecemos a [Manu] por descubrir este problema.
+
+## Historia
+
+* Publicado originalmente el 2025-07-08 07:00:00 (UTC)
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun