이 취약점은 resolv 라이브러리가 DNS 패킷 내에서 압축 해제된 도메인 이름의 길이를 충분히 검사하지 않아 발생합니다. 공격자는 고도로 압축된 악성 DNS 패킷을 조작하여 전송할 수 있으며, resolv 라이브러리가 이러한 패킷을 파싱할 때 이름 압축 해제 과정에서 결과 이름의 길이를 제한하지 않아 막대한 CPU 자원을 소모하게 됩니다. 이러한 비정상적인 자원 소비는 해당 애플리케이션 스레드를 응답 불능 상태로 만들 수 있으며, 이는 곧 서비스 거부(DoS) 상태로 이어집니다. 이로 인해 정상적인 서비스 운영이 불가능해질 수 있습니다. 영향을 받는 resolv gem 버전은 다음과 같습니다: Ruby 3.2 시리즈의 resolv 버전 0.2.2 및 이전 버전, Ruby 3.3 시리즈의 resolv 버전 0.3.0, 그리고 Ruby 3.4 시리즈의 resolv 버전 0.6.1 및 이전 버전입니다. 이 취약점은 보안 연구원 Manu에 의해 발견되었으며, Ruby 사용자는 해당 취약점의 영향을 받지 않도록 resolv gem을 최신 버전으로 즉시 업데이트하는 것이 중요합니다.
Ruby resolv gem 서비스 거부 취약점 (CVE-2025-24294) 발견 및 권고
CVE-2025-24294: Possible Denial of Service in resolv gem
작성자
발행일
2025년 07월 08일
핵심 요약
- 1 Ruby의 resolv gem에서 DNS 패킷 처리 시 서비스 거부(DoS) 취약점(CVE-2025-24294)이 발견되었습니다.
- 2 이 취약점은 압축된 도메인 이름 길이 검사 미흡으로 인해 과도한 CPU 자원을 소모시켜 애플리케이션 응답 불능을 야기합니다.
- 3 영향을 받는 Ruby 버전 사용자들은 resolv gem을 즉시 최신 버전으로 업그레이드할 것을 권고합니다.
도입
2025년 7월 8일, Ruby에 번들된 `resolv` gem에서 서비스 거부(Denial of Service, DoS) 취약점(CVE-2025-24294)이 발견되어 사용자들에게 `resolv` gem 업그레이드가 권고되었습니다. 이 취약점은 특정 조건에서 시스템 자원을 과도하게 소비하게 만들어 서비스 가용성에 심각한 영향을 미칠 수 있습니다. 이는 Ruby 기반 애플리케이션의 안정성을 위협할 수 있는 중요한 보안 문제입니다.
결론
결론적으로, Ruby의 `resolv` gem에서 발견된 CVE-2025-24294 서비스 거부 취약점은 악의적인 DNS 패킷을 통해 시스템 자원을 고갈시킬 수 있는 심각한 문제입니다. 이는 Ruby 기반 애플리케이션의 안정성과 가용성에 직접적인 위협이 됩니다. Ruby를 사용하는 개발자와 시스템 관리자는 안정적인 서비스 운영을 위해 영향을 받는 `resolv` gem 버전을 즉시 확인하고, 지체 없이 권장되는 최신 버전으로 업그레이드하여 잠재적인 서비스 중단을 예방해야 합니다. 이러한 선제적인 보안 조치는 Ruby 기반 시스템의 지속적인 보안과 안정성을 유지하는 데 필수적입니다.