Исправлены уязвимости в Dnsmasq
В пакете Dnsmasq, небольшом кэширующем DNS-прокси и сервере DHCP/TFTP, обнаружены две уязвимости. Они могут привести к отказу в обслуживании или утечке конфиденциальной информации.
Уязвимость CVE-2026-12725
Исследователь Yiwei Hou обнаружил, что Dnsmasq неправильно обрабатывает логирование записей DS или DNSKEY. Удаленный злоумышленник может использовать эту уязвимость для выполнения атаки типа «отказ в обслуживании» (DoS).
Уязвимость CVE-2026-12969
Также обнаружено, что Dnsmasq неправильно проверяет длину полей фиксированной длины записей DNS при разборе записей секции NS. Удаленный злоумышленник может использовать эту уязвимость для того, чтобы заставить Dnsmasq читать данные за пределами выделенной памяти (out-of-bounds read), что в свою очередь может привести к утечке конфиденциальной информации.
Кому это касается
Уязвимости затрагивают все системы, использующие Dnsmasq для обработки DNS-запросов или предоставления услуг DHCP/TFTP. Это могут быть серверы с установленным пакетом dnsmasq, а также устройства, работающие под управлением операционных систем на базе Linux, где используется этот софт.
Перед обновлением рекомендуется проверить текущую версию ядра и активные процессы. Это поможет избежать несовместимости после обновления:
uname -r
Также проверьте, какие версии пакетов установлены в системе:
dpkg -l | grep dnsmasq
Подготовка к обновлению
Перед началом обновления необходимо создать резервную копию конфигурационных файлов Dnsmasq. Это позволит быстро восстановить работу службы в случае неожиданных проблем:
sudo cp /etc/dnsmasq.conf /etc/dnsmasq.conf.bak
Также рекомендуется выбрать подходящее время для обновления, чтобы минимизировать влияние на пользователей. Например, можно выполнить обновление в ночное время или во время планового обслуживания.
Обновление и перезапуск службы
Для исправления уязвимостей необходимо обновить пакет Dnsmasq до безопасной версии и перезапустить службу. Это можно сделать с помощью следующих команд:
sudo apt update && sudo apt upgrade dnsmasq
После обновления пакета, необходимо перезапустить службу Dnsmasq:
sudo systemctl restart dnsmasq
Проверка результата
Для проверки того, что уязвимости исправлены, можно снова выполнить команду проверки версии пакета. Если версия пакета соответствует последней безопасной версии (например, 2.89-1ubuntu0.5 для Ubuntu 22.04 LTS), то уязвимости исправлены.
Также можно проверить статус службы Dnsmasq:
sudo systemctl status dnsmasq
Если служба работает корректно, то вывод команды должен содержать строку «active (running)».
Ограничения и типичные ошибки
При обновлении Dnsmasq могут возникнуть следующие проблемы:
- Несовместимость версий: Если в системе установлены другие пакеты, зависящие от определённой версии Dnsmasq, обновление может привести к конфликтам. В этом случае рекомендуется проверить зависимости перед обновлением.
- Ошибки конфигурации: После перезапуска службы могут возникнуть ошибки, связанные с некорректными настройками в файле конфигурации. В этом случае можно использовать резервную копию конфигурационного файла для восстановления работы.
- Проблемы с сетью: В некоторых случаях обновление может привести к временным проблемам с сетью, особенно если Dnsmasq используется в качестве основного DNS-сервера. Рекомендуется иметь резервный план на случай таких ситуаций.
Если после обновления возникнут проблемы, можно попробовать откатить изменения, используя резервную копию пакета и конфигурационных файлов:
sudo apt install dnsmasq=2.89-1ubuntu0.4
Затем перезапустите службу Dnsmasq с использованием резервной копии конфигурационного файла.
Дополнительные меры безопасности
Для снижения риска эксплуатации уязвимостей рекомендуется:
- Регулярно обновлять все пакеты на системе.
- Использовать межсетевые экраны для ограничения доступа к службе Dnsmasq.
- Мониторить логи службы Dnsmasq на предмет подозрительной активности.
Также стоит рассмотреть возможность использования альтернативных DNS-серверов, если это возможно в вашей инфраструктуре.