Translate 2025-07-08 DoS resolv CVE news (zh_tw)

Author: timfanda35

zh_tw/news/_posts/2025-07-08-dos-resolv-cve-2025-24294.md

@@ -0,0 +1,44 @@
+---
+layout: news_post
+title: "CVE-2025-24294: resolv gem 中潛在的服務阻斷漏洞"
+author: "mame"
+translator: "Bear Su"
+date: 2025-07-08 07:00:00 +0000
+tags: security
+lang: zh_tw
+---
+
+在 Ruby 所包含的 `resolv` gem 中發現了一個服務阻斷漏洞。
+
+該漏洞的 CVE 編號為 [CVE-2025-24294]。
+
+我們建議您升級 resolv gem。
+
+## 風險細節
+
+該漏洞是由於在 DNS 封包中解壓縮的域名長度檢查不足所引起的。
+
+攻擊者可以製作一個包含高度壓縮域名的惡意 DNS 封包。
+
+當 `resolv` 函式庫解析這樣的封包時，域名解壓縮過程會消耗大量的 CPU 資源，因為該函式庫沒有限制域名解壓縮後的長度。
+
+這可能導致應用程式執行緒無法回應，從而造成服務阻斷。
+
+## 受影響版本
+
+以下 Ruby 系列包含了受影響版本的 resolv gem：
+
+* Ruby 3.2 系列：resolv 版本 0.2.2 和較早版本
+* Ruby 3.3 系列：resolv 版本 0.3.0
+* Ruby 3.4 系列：resolv 版本 0.6.1 和較早版本
+
+## 致謝
+
+感謝 [Manu] 發現此問題。
+
+## 歷史
+
+* 最初發布於 2025-07-08 07:00:00 (UTC)
+
+[CVE-2025-24294]: https://www.cve.org/CVERecord?id=CVE-2025-24294
+[Manu]: https://hackerone.com/manun