ruby · florentdrousset · Oct 12, 2025 · Oct 12, 2025
@@ -0,0 +1,41 @@
+---
+layout: news_post
+title: "CVE-2025-24294 : Vulnérabilité de déni de service potentielle dans la gem resolv"
+author: "mame"
+translator: Florent Drousset
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: fr
+---
+
+Une vulnérabilité de déni de service (DoS) a été découverte dans la gem `resolv` fournie avec Ruby.
+Cette vulnérabilité a reçu l’identifiant [CVE-2025-24294].
+Nous recommandons de mettre à jour la gem `resolv`.
+
+## Détails
+
+La vulnérabilité est causée par une vérification insuffisante de la longueur d’un nom de domaine décompressé à l’intérieur d’un paquet DNS.
+
+Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé.
+Lorsqu’une bibliothèque `resolv` analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.
+
+Cette consommation excessive de ressources peut rendre le thread de l’application non réactif, entraînant une situation de déni de service.
+
+## Versions affectées
+
+La vulnérabilité affecte la gem `resolv` fournie avec les séries Ruby suivantes :
+
+* Série Ruby 3.2 : `resolv` version 0.2.2 et antérieures
+* Série Ruby 3.3 : `resolv` version 0.3.0
+* Série Ruby 3.4 : `resolv` version 0.6.1 et antérieures
+
+## Remerciements
+
+Merci à [Manu] pour avoir découvert cette vulnérabilité.
+
+## Historique
+
+* Publication initiale le 2025-07-08 07:00:00 (UTC)
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun