dnsmasq 是一个小巧便捷的DNS和DHCP配置工具,它提供了DNS功能和可选择的DHCP功能。该工具广泛应用于中小企业环境和云平台中,包括libvirt等在内组件都会直接使用它作为支撑。
2017年10月2日, Google安全团队披露了多个dnsmasq安全漏洞。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级,其他漏洞如 CVE-2017-14494、CVE-2017-14495、CVE-2017-14496、CVE-2017-13704 被标记为重要等级。
阿里云安全提醒使用dnsmasq的用户尽快排查和升级处理,防止发生安全事件。
漏洞详情见下文。
漏洞编号
- CVE-2017-14491
- CVE-2017-14492
- CVE-2017-14493
- CVE-2017-14494
- CVE-2017-14495
- CVE-2017-14496
- CVE-2017-13704
漏洞名称
dnsmasq多高危漏洞
漏洞评级
高危
漏洞描述
受影响的dnsmasq服务可能遭受远程任意代码执行攻击或远程拒绝服务攻击,造成主机被入侵或服务不可用,存在安全风险。
影响范围
| CVE | 漏洞等级 | 影响版本 | 相关功能组件 | 漏洞点 |
|---|---|---|---|---|
| CVE-2017-14491 | Critical | All versions | DNS | 对内存越界访问 |
| CVE-2017-14492 | Critical | 2.60 – 2.66 | IPv6 RA | 对内存越界访问 |
| CVE-2017-14493 | Critical | 2.60 – 2.66 | DHCPv6 | 对内存越界访问 |
| CVE-2017-14494 | Important | 2.60 – 2.66 | DHCPv6 | 信息泄露 |
| CVE-2017-14495 | Important | 2.76 | ENDS0 | 内存耗尽 |
| CVE-2017-14496 | Important | 2.76 | EDNS0 | 段错误 |
| CVE-2017-13704 | Important | 2.77 | DNS | 段错误 |
其中部分漏洞利用所需的环境并非默认,需要单独配置:
| CVE | 利用条件所需配置项 |
|---|---|
| CVE-2017-14492 | enable-ra slaac ra-only ra-names ra-advrouter ra-stateless |
| CVE-2017-14495 | add-mac add-cpe-id add-subnet |
| CVE-2017-14496 | add-mac add-cpe-id add-subnet |
漏洞检测
开发或运维人员检查使用的dnsmasq软件是否在受影响版本范围内。
修复建议(缓解措施)
相关Linux发行厂商已经提供了安全更新,您可以通过 yum 或 apt-get 进行安全更新升级。注意:升级前请做好系统备份。
Ubuntu 14.04/16.04 LTS系列用户
- Ubuntu 14.04 LTS系列:升级dnsmasq到 2.68-1ubuntu0.2
- Ubuntu 16.04 LTS系列:升级dnsmasq到 2.75-1ubuntu0.16.04.3
操作步骤:
- 运行命令
sudo apt-get update && sudo apt-get install dnsmasq,更新dnsmasq版本。 - 重启dnsmasq使服务生效。
CentOS 6/7 系列用户
- CentOS 7系列:升级dnsmasq到 2.76-2.el7_4.2
- CentOS 6系列:升级dnsmasq到 2.48-18.el6_9
操作步骤:
- 运行命令
yum clean all && yum makecache,更新软件源。 - 运行命令
yum -y update dnsmasq,更新当前dnsmasq版本。 - 重启dnsmasq使服务生效。
从dnsmasq官网下载并安装最新版本的的软件。