ruby · teeta32 · May 14, 2026
@@ -0,0 +1,39 @@
+---
+layout: news_post
+title: "CVE-2025-24294: resolv gem の DoS 可能な脆弱性"
+author: "mame"
+translator: "teeta32"
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: ja
+---
+
+Ruby にバンドルされている `resolv` gem に DoS 脆弱性が見つかりました。本脆弱性に [CVE-2025-24294] が割り当てられています。
+resolv gem のアップグレードを推奨します。
+
+## 詳細
+
+本脆弱性は、DNS パケットにおける展開後のドメイン名の長さのチェックが不十分なことに起因します。
+
+攻撃者は高度に圧縮したドメイン名を含む悪意のある DNS パケットを作成できます。resolv ライブラリがそのようなパケットを解析する際に、ライブラリが展開後の名前の長さに制限を設けていないため、名前の展開処理が大きな CPU リソースを消費します。
+
+このリソース消費がアプリケーションのスレッドを応答不能にし、結果として DoS 状態になる恐れがあります。
+
+## 影響を受けるバージョン
+
+本脆弱性は、以下の Ruby にバンドルされている resolv gem に影響します:
+
+* Ruby 3.2 系: resolv バージョン 0.2.2 以前
+* Ruby 3.3 系: resolv バージョン 0.3.0
+* Ruby 3.4 系: resolv バージョン 0.6.1 以前
+
+## クレジット
+
+この脆弱性情報は[Manu]氏によって報告されました。
+
+## 更新履歴
+
+* 2025-07-08 07:00:00 (UTC) 初版
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun