【漏洞公告】dnsmasq多高危漏洞公告

2017年10月02日, Google安全团队披露了多个dnsmasq安全漏洞。其中漏洞编号为CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级,其他漏洞如CVE-2017-14494、CVE-2017-14495、CVE-2017-14496、CVE-2017-13704被标记为重要等级。

说明

dnsmasq是一个小巧便捷的DNS和DHCP配置工具,它提供了DNS功能和可选择的DHCP功能。该工具广泛应用于中小企业环境和云平台中,包括libvirt等在内组件都会直接使用它作为支撑。

阿里云安全提醒使用dnsmasq的用户尽快排查和升级处理,防止发生安全事件。

漏洞编号

  • CVE-2017-14491

  • CVE-2017-14492

  • CVE-2017-14493

  • CVE-2017-14494

  • CVE-2017-14495

  • CVE-2017-14496

  • CVE-2017-13704

漏洞名称

dnsmasq多高危漏洞

漏洞评级

高危。

漏洞描述

受影响的dnsmasq服务可能遭受远程任意代码执行攻击或远程拒绝服务攻击,造成主机被入侵或服务不可用,存在安全风险。

影响范围

CVE

漏洞等级

影响版本

相关功能组件

漏洞危害

CVE-2017-14491

Critical

All versions

DNS

对内存越界访问

CVE-2017-14492

Critical

2.60 ~ 2.66

IPv6 RA

对内存越界访问

CVE-2017-14493

Critical

2.60 ~ 2.66

DHCPv6

对内存越界访问

CVE-2017-14494

Important

2.60 ~ 2.66

DHCPv6

信息泄露

CVE-2017-14495

Important

2.76

ENDS0

内存耗尽

CVE-2017-14496

Important

2.76

EDNS0

段错误

CVE-2017-13704

Important

2.77

DNS

段错误

部分漏洞需要特定的环境配置才能被利用,在默认环境配置下不存在被利用的风险(具体说明如下表)。如果您的环境中没有下表描述的“所需配置项”,则对应漏洞不会对您造成危害。

CVE

利用条件所需配置项

CVE-2017-14492

enable-ra slaac ra-only ra-names ra-advrouter ra-stateless

CVE-2017-14495

add-mac add-cpe-id add-subnet

CVE-2017-14496

add-mac add-cpe-id add-subnet

漏洞检测

建议:建议由开发或运维人员检查使用的dnsmasq软件是否在受影响版本范围内。

修复建议(缓解措施)

  • 相关Linux发行厂商已经提供了安全更新,您可以通过yum或apt-get进行安全更新升级。

    Ubuntu 14.04/16.04 LTS系列用户

    • Ubuntu 14.04 LTS系列:升级dnsmasq到2.68-1ubuntu0.2

    • Ubuntu 16.04 LTS系列:升级dnsmasq到2.75-1ubuntu0.16.04.3

      操作步骤

      a.执行以下命令,更新dnsmasq的版本。

      sudo apt-get update && sudo apt-get install dnsmasq

      b. 执行以下命令,重启dnsmasq使服务生效。

      service dnsmasq restart
      说明

      升级前请做好系统备份。

    CentOS 6/7 系列用户

    • CentOS 7系列:升级dnsmasq到2.76-2.el7_4.2

    • CentOS 6系列:升级dnsmasq到2.48-18.el6_9

      操作步骤

      a. 执行以下命令,更新软件源。

      yum clean all && yum makecache

      b. 执行以下命令,更新当前dnsmasq版本。

      yum -y update dnsmasq

      c. 执行以下命令,重启dnsmasq使服务生效。

      service dnsmasq restart

情报来源