全部产品
Search
文档中心

【漏洞公告】DNSMASQ多高危漏洞公告

更新时间: 2018-03-20

dnsmasq 是一个小巧便捷的DNS和DHCP配置工具,它提供了DNS功能和可选择的DHCP功能。该工具广泛应用于中小企业环境和云平台中,包括libvirt等在内组件都会直接使用它作为支撑。

2017年10月2日, Google安全团队披露了多个dnsmasq安全漏洞。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级,其他漏洞如 CVE-2017-14494、CVE-2017-14495、CVE-2017-14496、CVE-2017-13704 被标记为重要等级。

阿里云安全提醒使用dnsmasq的用户尽快排查和升级处理,防止发生安全事件。

漏洞详情见下文。

漏洞编号

  • CVE-2017-14491
  • CVE-2017-14492
  • CVE-2017-14493
  • CVE-2017-14494
  • CVE-2017-14495
  • CVE-2017-14496
  • CVE-2017-13704

漏洞名称

dnsmasq多高危漏洞

漏洞评级

高危

漏洞描述

受影响的dnsmasq服务可能遭受远程任意代码执行攻击或远程拒绝服务攻击,造成主机被入侵或服务不可用,存在安全风险。

影响范围

CVE 漏洞等级 影响版本 相关功能组件 漏洞点
CVE-2017-14491 Critical All versions DNS 对内存越界访问
CVE-2017-14492 Critical 2.60 – 2.66 IPv6 RA 对内存越界访问
CVE-2017-14493 Critical 2.60 – 2.66 DHCPv6 对内存越界访问
CVE-2017-14494 Important 2.60 – 2.66 DHCPv6 信息泄露
CVE-2017-14495 Important 2.76 ENDS0 内存耗尽
CVE-2017-14496 Important 2.76 EDNS0 段错误
CVE-2017-13704 Important 2.77 DNS 段错误

其中部分漏洞利用所需的环境并非默认,需要单独配置:

CVE 利用条件所需配置项
CVE-2017-14492 enable-ra slaac ra-only ra-names ra-advrouter ra-stateless
CVE-2017-14495 add-mac add-cpe-id add-subnet
CVE-2017-14496 add-mac add-cpe-id add-subnet

漏洞检测

开发或运维人员检查使用的dnsmasq软件是否在受影响版本范围内。

修复建议(缓解措施)

  • 相关Linux发行厂商已经提供了安全更新,您可以通过 yum 或 apt-get 进行安全更新升级。注意:升级前请做好系统备份。

    Ubuntu 14.04/16.04 LTS系列用户

    • Ubuntu 14.04 LTS系列:升级dnsmasq到 2.68-1ubuntu0.2
    • Ubuntu 16.04 LTS系列:升级dnsmasq到 2.75-1ubuntu0.16.04.3

    操作步骤:

    1. 运行命令 sudo apt-get update && sudo apt-get install dnsmasq,更新dnsmasq版本。
    2. 重启dnsmasq使服务生效。

    CentOS 6/7 系列用户

    • CentOS 7系列:升级dnsmasq到 2.76-2.el7_4.2
    • CentOS 6系列:升级dnsmasq到 2.48-18.el6_9

    操作步骤:

    1. 运行命令 yum clean all && yum makecache,更新软件源。
    2. 运行命令 yum -y update dnsmasq,更新当前dnsmasq版本。
    3. 重启dnsmasq使服务生效。
  • dnsmasq官网下载并安装最新版本的的软件。

情报来源