forum.opennet.ru - "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root" (71)

"Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root"	+/–
Сообщение от opennews (??), 12-Май-26, 18:03
В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено 6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2. Исправления также доступны в форме патчей. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch,... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65431
Ответить \| Правка \| Cообщить модератору

Оглавление

У всех нормальных unbound , Аноним (1), 18:03 , 12-Май-26, (1) –7

А DHCPv6 чем раздавать , Аноним83 (?), 18:07 , 12-Май-26, (3) +2

Kea Плюс для дома это редко нужно А вот dns сервер с поддержкой doh, резолвера , Аноним (10), 18:28 , 12-Май-26, (10) –5

Kea тяжёловата и сложновата Мне DoH DoT даром не нужны, я порезал все известные , Аноним83 (?), 19:37 , 12-Май-26, (22) –2

Ну если приложение берет сервера не из etc resolv conf, то никак Разве что рутк, Аноним (49), 21:17 , 12-Май-26, (49)

Вот взяло приложение из resolv confnameserver 127 0 0 1дальше то оно libc и буде, Аноним83 (?), 22:15 , 12-Май-26, (55)

Верно, сорри Неправильно выразился Да, у тех же браузеров есть, секунд 60, наве, Аноним (60), 22:34 , 12-Май-26, (60)

а зачем его раздавать там же slaac есть, очень даже работает, wd (?), 20:20 , 12-Май-26, (39) +1

Не точно выразился чем IPv6 адреса раздавать Стоит проблема контроля того какие, Аноним83 (?), 20:29 , 12-Май-26, (40)

MAC рандомный выключи на девайсах, где жто не нужно, и будет у тебя статичный ай, Аноним (66), 01:41 , 13-Май-26, (66)

Тут дело в управлении внутри своей локалки Допустим я бы детям коей чего резал н, Аноним83 (?), 01:55 , 13-Май-26, (70)

Обнови dnsmasq, Аноним (42), 20:42 , 12-Май-26, (42)

И что, там doh есть Другие фишки типа prefetch и т д, Аноним (49), 21:18 , 12-Май-26, (50)

он разжирел с годами Я может не нормальный, у меня dnsmasq, Аноним (4), 18:08 , 12-Май-26, (4) +3

Да, это точно Заглянул вчера в доку, после примерно 5 лет не заглядывания - а та, Аноним83 (?), 19:40 , 12-Май-26, (24) –1

имеет , Заноним (?), 21:50 , 12-Май-26, (53)

https wiki archlinux org title DnsmasqSince dnsmasq is a stub resolver not a r, Аноним83 (?), 22:20 , 12-Май-26, (56)

Роутеров , Аноним (21), 19:25 , 12-Май-26, (21)

У роутеров нынче столько лишней памяти что unbound там прекрасно живёт Он в обще, Аноним83 (?), 19:46 , 12-Май-26, (28) –1

В 64 Мб, я думаю, уже и графическое окружение можно какое-то впихнуть Вопрос то, Аноним (21), 00:09 , 13-Май-26, (63)

У меня там списки блокировки всяких негодных доменов, мне такой сервис нужен А п, Аноним83 (?), 00:31 , 13-Май-26, (65) +1

На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один, Аноним83 (?), 18:07 , 12-Май-26, (2) –2

Чудны дела твои Что, от отравления кэша DNS chroot помогает Вот это нанотехн, Аноним (14), 19:04 , 12-Май-26, (14) +2

А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом , Аноним83 (?), 19:41 , 12-Май-26, (25)
От отравления кэша помогает только DNSSEC либо туннель вокруг того, кто его тебе, Аноним (66), 01:45 , 13-Май-26, (67)

От отравления кеша помогает DNS TCP - изначально заложенный в протоколе DNSSEC п, Аноним83 (?), 01:52 , 13-Май-26, (69)

Ну, значит можно не фиксить rcешкиПосле недавних copy fuck и dirty fag Шутник Ш, Аноним (10), 19:08 , 12-Май-26, (16) +1

Ээээ так там в chroot только RO область, и бинарник того же dnsmasq либы ему нео, Аноним83 (?), 19:43 , 12-Май-26, (26)

Тут спасает то, что это кастомный костыль и вероятность, что эксплойт учитывает , Аноним (60), 22:14 , 12-Май-26, (54)

или закладка в железе типа ME PSP Вопрос то всегда в цене Если готовы запла, Аноним83 (?), 22:26 , 12-Май-26, (57)

Во-первых, из chroot-а можно отностельно тривиально выйти Во-вторых, chroot вам, Аноним (20), 19:23 , 12-Май-26, (20)

Как вы от туда собрались выходить, когда там ничего нет и писать почти некуда , Аноним83 (?), 19:44 , 12-Май-26, (27)

Для того, чтобы выйти из chroot, нужно всего-лишь иметь возможность выполнять си, Аноним (20), 21:27 , 12-Май-26, (51)

И всего лишь быть запущенным под рутом, это вам не вин9х , Аноним83 (?), 22:29 , 12-Май-26, (58)

А слабо было сразу написать все параметры , Аноним (20), 22:38 , 12-Май-26, (62)

Правда что-ли Поделись сакральным знанием Расскажи как тривиально выходят из, Аноним (36), 20:11 , 12-Май-26, (36)

Зачем тогда chroot, если можно демона просто в отдельный UID посадить и дать ему, Аноним (66), 01:51 , 13-Май-26, (68)

Сейчас конечно уязвимости становятся ещё более опасными https www tomshardware, Аноним (5), 18:12 , 12-Май-26, (5)

AI устроил переполох , Аноним (5), 21:14 , 12-Май-26, (48)

There has been something of a revolution in AI-based security research, and I ve, Дырик (?), 18:15 , 12-Май-26, (6) +1
Уважаемые админы OpenNET, вы можете в новостях про уязвимости сразу писать - это, ruroruro (ok), 18:21 , 12-Май-26, (7) +10

RCE, Cache poisoning, infoleak, infoleak, dos, infoleak, Дырик (?), 18:24 , 12-Май-26, (9)

citation needed На странице Vulnerability Note VU 471747 , на которую ссылае, ruroruro (ok), 18:34 , 12-Май-26, (11) +1

Да, действительно Звучит странно в контексте DHCPv6-пакетов, но видимо так Вот , Дырик (?), 18:46 , 12-Май-26, (12)

А далее прочитать не судьба The likely attack vector is the local network, wher, Аноним (36), 19:07 , 12-Май-26, (15)

Мне казалось, что DHCP нельзя ну или бессмысленно выставить наружу , потому ч, ruroruro (ok), 19:21 , 12-Май-26, (19)

Ставить наружу реально бессмысленно хотя такие выставители у горе провайдеров ч, Аноним83 (?), 20:42 , 12-Май-26, (43)

Откуда вы взяли эту цитату Я перед ответом зашел в калькулятор CVSS, чтобы осве, Дырик (?), 20:07 , 12-Май-26, (33)
Ваша цитата Generated by OpenCVE AI on May 11, 2026 at 20 37 UTC , не соответств, Дырик (?), 20:09 , 12-Май-26, (35)

Еще было бы классно указывать сколько лет 822 с 822 у 822 щ 822 е 822 с , Аноним (13), 18:49 , 12-Май-26, (13) –1

Ага, и всё это время оно работало на миллионах инсталляций и никому не мешало , Аноним83 (?), 19:52 , 12-Май-26, (30)

И Конечно оно никому не мешало ломать чужие компы Или у вас есть доказательство,, Аноним (37), 20:12 , 12-Май-26, (37)

И много наломали Какой реальный ущерб 35к строк кода для такого проекта очень м, Аноним83 (?), 20:40 , 12-Май-26, (41)

Думаю ущерб будут еще считать, и найдут взломы, которые непонятно как случились , Аноним (45), 20:53 , 12-Май-26, (45)

Никто уже ничего не найдёт Технически то луа тоже на С так что можно сказать что, Аноним83 (?), 21:10 , 12-Май-26, (47)

Как вы собираетесь это определять для нулевого дня В этом та весь и смысл, даже, Аноним (20), 21:30 , 12-Май-26, (52)

Я вообще последнее время часто на shell script пишу, потому что задачи такие , Аноним83 (?), 22:30 , 12-Май-26, (59)

Это только самая вершина айсберга Кто приберёг все самое интересное для pwn2own, Дырик (?), 18:22 , 12-Май-26, (8)

ты говоришь об этом, как будто это что-то плохое , Аноним (18), 19:19 , 12-Май-26, (18) +1
Ну расчехлят, ну обновимся может быть, когда руки дойдут и что дальше Уже даже в, Аноним83 (?), 20:00 , 12-Май-26, (32) –1

https github com openwrt openwrt pull 23316, Аноним (17), 19:15 , 12-Май-26, (17) +1
то есть если в твоей квартирной сети есть телефон с максом то он угонит твой роу, Аноним (23), 19:37 , 12-Май-26, (23) +1

Увы но нет В андройдах нет DHCP6 поддержки вообще, только RA Удивительно что в R, Аноним83 (?), 19:54 , 12-Май-26, (31) +1

В андроиде приложуха не может отправить UDP пакет Там это, в браузере, QUIC HTT, Аноним (-), 20:14 , 12-Май-26, (38)

Это да, тут вы правы , Аноним83 (?), 20:43 , 12-Май-26, (44)

Там пока прочухают, согласуют, все бумажки подпишуть уже и все уязвимые роуте, Аноним (21), 00:12 , 13-Май-26, (64)

Не сложно По методичке же начали детектить впны на девайсах у ло w нормисов, мо, Аноним (66), 01:59 , 13-Май-26, (71)

Ждём фикс во Freexian , Zenitur (ok), 19:51 , 12-Май-26, (29) +1
Рутаем любую мобилу , Аноним (34), 20:09 , 12-Май-26, (34)
dnscrypt-proxyбольше ничего не нужно, жявамэн (ok), 21:06 , 12-Май-26, (46) +1
Скрыто модератором, runoverheads (ok), 04:10 , 13-Май-26, (72)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –7 +/–

Сообщение от Аноним (1), 12-Май-26, 18:03

У всех нормальных unbound.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +2 +/–

Сообщение от Аноним83 (?), 12-Май-26, 18:07

А DHCPv6 чем раздавать?)

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –5 +/–

Сообщение от Аноним (10), 12-Май-26, 18:28

Kea.
Плюс для дома это редко нужно. А вот dns сервер с поддержкой doh, резолвера и кеша нужен всегда. Вечно дергать glibc - глупая затея.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –2 +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:37

Kea тяжёловата и сложновата.
Мне DoH/DoT даром не нужны, я порезал все известные IP этих сервисов дома, чтобы туда не лазали всякие андройды в обход домашнего unbound с его чёрными списками.
Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (49), 12-Май-26, 21:17

> Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?
Ну если приложение берет сервера не из /etc/resolv.conf, то никак.
Разве что руткит прикрутить и хуки повесить. Но это уже такой момент.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 22:15

Вот взяло приложение из resolv.conf
nameserver 127.0.0.1
дальше то оно libc и будет дёргать.
Если речь шла про то что кеш не покидает хоста или локалки (смотря где unbound) стоит - то это да, в остальных случаях я только про кеш внутри приложений встречал, но это каждый раз отдельные реализации.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (60), 12-Май-26, 22:34

> кеш не покидает хоста или локалки (смотря где unbound) стоит
Верно, сорри. Неправильно выразился.
> в остальных случаях я только про кеш внутри приложений встречал,
Да, у тех же браузеров есть, секунд 60, наверное.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от wd (?), 12-Май-26, 20:20

а зачем его раздавать? там же slaac есть, очень даже работает

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 20:29

Не точно выразился: чем IPv6 адреса раздавать?
Стоит проблема контроля того какие хосты в сети какие IP адреса юзают.
Для IPv4 я просто статику по дхцп выдаю, а с IPv6 они сами пачками адреса гребут по RA.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (66), 13-Май-26, 01:41

MAC рандомный выключи на девайсах, где жто не нужно, и будет у тебя статичный айпишник в IPv6. Приватность, если что, ещё включить надо на компах, а телефонам пофигу, они и так у тебя в dhcp могут привторится каким угодно MAC и получить любой айпишник, или вообще не пользоваться твоим DHCP и самоприсвоить статику.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 13-Май-26, 01:55

Тут дело в управлении внутри своей локалки.
Допустим я бы детям коей чего резал на фаере, но IPv6 не даёт возможности это делать гарантированно.
Потом никакой отчётности и статистики, даже сходу не понять кто выжрал весь канал в случае чего: если ип4 можно слазать-посмотреть в базу лиз днсмаска, то ипв6 - это квест через мак адрес.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (42), 12-Май-26, 20:42

Обнови dnsmasq

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (49), 12-Май-26, 21:18

И что, там doh есть?
+ Другие фишки типа prefetch и т.д

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +3 +/–

Сообщение от Аноним (4), 12-Май-26, 18:08

он разжирел с годами. Я может не нормальный, у меня dnsmasq

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –1 +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:40

Да, это точно.
Заглянул вчера в доку, после примерно 5 лет не заглядывания - а там столько всякого наросло.
С другой стороны там до сих пор не сделали фильтр для IPv6 записей, ктогда как для IPv4 есть - типа не по феншую, так и приходится через ж. фильтровать некоторые домены от IPv6.
dnsmasq не имеет рекурсера, это существенный недостаток.
А ещё там внутри начинка мне не нравится - как раз в декабре там лазал, смотрел на DHCP часть, чувствуется что писали люди из 90х.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Заноним (?), 12-Май-26, 21:50

> dnsmasq не имеет рекурсера, это существенный недостаток.
имеет.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 22:20

https://wiki.archlinux.org/title/Dnsmasq
Since dnsmasq is a stub resolver not a recursive resolver you must set up forwarding to an external DNS server.
https://thekelleys.org.uk/dnsmasq/doc.html
The DNS subsystem provides a local DNS server for the network, with forwarding of all query types to upstream recursive DNS servers and caching of common record types
Те своего рекурсера там нет, он всегда спрашивает у кого то и тот кто то сам бегает по всем днс начиная с корня пока не найдёт нужное и не отдаст ему.
Я когда то писал сам рекурсер для днс - очень запарная тема.
А написать такой как днсмаск весьма просто.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (21), 12-Май-26, 19:25

Роутеров?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –1 +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:46

У роутеров нынче столько лишней памяти что unbound там прекрасно живёт.
Он в общем то и на 64мб озу уже жить может, в OpenWRT или самом unbound есть пресет под минимальное потребление памяти как раз.
Я его как раз юзал в мобильных роутерах с OpenWRT, там правда есть нюансы настройки, я их у себя в вики описывал.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (21), 13-Май-26, 00:09

В 64 Мб, я думаю, уже и графическое окружение можно какое-то впихнуть. Вопрос только -- зачем? Зачем значительную часть оперативной памяти отдавать под одну единственную программу-демон, которая выполняет одну из десятка функций?

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним83 (?), 13-Май-26, 00:31

У меня там списки блокировки всяких негодных доменов, мне такой сервис нужен.
А под что ещё память роутера использовать?

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –2 +/–

Сообщение от Аноним83 (?), 12-Май-26, 18:07

На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один с DNS.
На практике от этого толку около нуля, учитывая что DHCPv6 только в локалке и обычно его не юзают, а DNSSEC вендоры вроде не включают, ибо им не нужны багрепорты на пустом месте.
Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось.
Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю.
Я уже почти все сервисы поубирал в chroot, и буду теперь как мяв с её томоей - смотреть за цирком со стороны :)

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +2 +/–

Сообщение от Аноним (14), 12-Май-26, 19:04

> свести ущерб от всех атак примерно к нулю
Чудны дела твои... Что, от отравления кэша DNS chroot помогает? Вот это нанотехнологии!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:41

А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (66), 13-Май-26, 01:45

От отравления кэша помогает только DNSSEC либо туннель вокруг того, кто его тебе отравляет (твой провайдер, больше собственно то и некому).

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

69. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 13-Май-26, 01:52

От отравления кеша помогает DNS@TCP - изначально заложенный в протоколе.
DNSSEC помогает обчебурнетится на ровном месте.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним (10), 12-Май-26, 19:08

> Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось.
Ну, значит можно не фиксить rcешки
> chroot
После недавних copy fuck и dirty fag? Шутник.
> смотреть за цирком со стороны :)
Шею свернешь) Твой чрут в пять секунд разберут и пойдут плясать вокруг тебя.
> Я уже почти все сервисы поубирал в chroot
Systemd с namespace и seccompo попробуй.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:43

> После недавних copy fuck и dirty fag? Шутник.
Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые.
И конфиг.
Что ты с этим сделаешь то?
Запишешь в /tmp - а от туда не запускается, ибо noexec+nosuid.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (60), 12-Май-26, 22:14

> Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые.
Тут спасает то, что это кастомный костыль и вероятность, что эксплойт учитывает этот сценарий минимальна.
А так, если есть RCE в dnsmasq и LPE в ядре, исход может быть печальным.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 22:26

...или закладка в железе типа ME/PSP...
Вопрос то всегда в цене.
Если готовы заплатить достаточно - то и физически могут вломится, устроить термальный анализ и тп, вы почему то всё сводите к дешман скрипткидди взломам.
RCE то допустим там есть, но тоже они разные бывают.
В случае с chroot где все под RO нужно чтобы rce влил кусок кода прямо в память процесса и передал ему управление. Подобное водится в штучных экземплярах в принципе.
Для LPE тоже часто разные условия бывают, может так легко оказатся что, например, нужное устройство просто не проброшено в chroot.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (20), 12-Май-26, 19:23

>Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю.
Во-первых, из chroot-а можно отностельно тривиально выйти. Во-вторых, chroot вам абсолютно никак в данном вопросе не поможет. В-третьих, systemd изобретён.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

27. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:44

Как вы от туда собрались выходить, когда там ничего нет и писать почти некуда?

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (20), 12-Май-26, 21:27

Для того, чтобы выйти из chroot, нужно всего-лишь иметь возможность выполнять системные вызова.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 22:29

И всего лишь быть запущенным под рутом, это вам не вин9х.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (20), 12-Май-26, 22:38

А слабо было сразу написать все параметры?

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (36), 12-Май-26, 20:11

>из chroot-а можно отностельно тривиально выйти
Правда что-ли? Поделись сакральным знанием. Расскажи как "тривиально" выходят из пустого чрута, в котором кроме необходимых либ и единственного исполняемого файла больше ни чего нет и отсутствуют права записи ни в один каталог.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

68. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (66), 13-Май-26, 01:51

Зачем тогда chroot, если можно демона просто в отдельный UID посадить и дать ему CAP_NET_BIND_SERVICE (или CAP_NET_RAW если ещё и DHCP нужен)? Он всё равно нихрена не сделает. И если в программе был баг, то в теории оно само себе может замапить read-write-execute память и развернуть себе шелл самостоятельно.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (5), 12-Май-26, 18:12

>Проблемы устранены в выпуске dnsmasq 2.92rel2.
Сейчас конечно уязвимости становятся ещё более опасными:
https://www.tomshardware.com/tech-industry/cyber-security/st...

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (5), 12-Май-26, 21:14

AI устроил переполох.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Дырик (?), 12-Май-26, 18:15

There has been something of a revolution in AI-based security research,
and I've spent a lot of time over the last couple of months dealing with
bug reports, weeding duplicates (so many duplicates!) and triaging bugs
into those which need vendor pre-disclosure and those which it's better
to make public and fix immediately.
…
The tsunami of AI-generated bug reports shows no signs of stopping, so
it is likely that this process will have to be repeated again soon.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +10 +/–

Сообщение от ruroruro (ok), 12-Май-26, 18:21

Уважаемые админы OpenNET, вы можете в новостях про уязвимости сразу писать - это Local Privilege Escalation (LPE) или Remote Code Execution (RCE)?
Потому что для подовляющего большинства людей LPE и RCE имеют абсолютно разные уровни важности. А фразы вроде "система загрузки по сети" и "позволяющих выполнить код с правами root" сразу создают впечатление будто это RCE.
Кликбейт - это конечно хорошо, но очень не приятно, что после каждой подобной новости приходится самому лазить в первоисточники и проверять есть ли там RCE или это очередной LPE.
Заранее спасибо.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Дырик (?), 12-Май-26, 18:24

RCE, Cache poisoning, infoleak, infoleak, dos, infoleak

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от ruroruro (ok), 12-Май-26, 18:34

> RCE
[citation needed]? На странице "Vulnerability Note VU#471747", на которую ссылается пост сказано только про LPE: "A local attacker may execute arbitrary code as root via DHCPv6 manipulation", "allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet".
Страничка самого CVE-2026-4892 на сайте NVD тоже классифицировано как "Attack Vector: Local".
> Cache poisoning, infoleak, dos
Остальное - вроде как верно.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Дырик (?), 12-Май-26, 18:46

Да, действительно. Звучит странно в контексте DHCPv6-пакетов, но видимо так.
Вот полное письмо: https://marc.info/?l=oss-security&m=177852314119822&w=2
>[оверквотинг удален]
>
> Cache Poisoning / Redirection (CVE-2026-2291, CVE-2026-4893) Attackers
> may overwrite cache entries or manipulate response routing, enabling the
> silent redirection of users to malicious domains.
>
> Information Disclosure (CVE-2026-4891, CVE-2026-4893) Internal memory
> and network information may be inadvertently exposed.
>
> Local Privilege Escalation (CVE-2026-4892) A local attacker may execute
> arbitrary code as root via DHCPv6 manipulation.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (36), 12-Май-26, 19:07

>Local Privilege Escalation (CVE-2026-4892) A local attacker may execute
> arbitrary code as root via DHCPv6 manipulation.
А далее прочитать не судьба?
"The likely attack vector is the local network, where an attacker can craft and send a DHCPv6 packet to the vulnerable server"
Слово "local" в данном CVE употребляется в значении LAN = local network. Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от ruroruro (ok), 12-Май-26, 19:21

> Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE
Мне казалось, что DHCP нельзя (ну или бессмысленно) "выставить наружу", потому что DHCPv6 и прочие multicast пакеты не пересылаются роутерами дальше локалки.
Если действительно достаточно локальной сети, а не "аккаунт на машине", то получается что CVSS не правильный (должно быть Attack Vector: Adjacent, а не Local). Ну или все-таки есть ещё какая-то причина, почему они решили пометить эту уязвимость именно как AV:L. Возможно, там что-то ещё мешает использованию "по проводу". :shrug:

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 20:42

Ставить наружу реально бессмысленно (хотя такие выставители у горе провайдеров часто ложат сегмент сети - роутер начинает выдавать адреса соседям чудо абонента и инет у них ломается), однако это не значит что из инета нельзя получать DHCP пакетов :)

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Дырик (?), 12-Май-26, 20:07

Откуда вы взяли эту цитату? Я перед ответом зашел в калькулятор CVSS, чтобы освежить знания, думал, забыл чего, но нет, local это local machine.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

35. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Дырик (?), 12-Май-26, 20:09

Ваша цитата Generated by OpenCVE AI on May 11, 2026 at 20:37 UTC., не соответствует действительности.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

13. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –1 +/–

Сообщение от Аноним (13), 12-Май-26, 18:49

Еще было бы классно указывать сколько лет ̶с̶у̶щ̶е̶с̶т̶в̶о̶в̶а̶л̶ ̶б̶е̶к̶д̶о̶р̶ жила дырень.
Это конечно может быть сложным, так что я начну с себя))
CVE-2026-4892 - 13 лет
github.com/imp/dnsmasq/blame/d42d4706bbcce3b5a40ad778a5a356a997db6b34/src/helper.c#L258
CVE-2026-2291 - 15 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnsmasq.h#L489
CVE-2026-4893 - 5 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/forward.c#L727
CVE-2026-4891 - 13 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L548
CVE-2026-4890 - 13 лет (в том же dnssec.c что и предыдущая)
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L1349
CVE-2026-5172 - всего год, свежачок!
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/rfc1035.c#L946
В общем результаты не утешительные, проект состоящий на 94.2% из дыpяшku внезапно! отказался дыpяßым.
Какая неожиданность.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

30. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:52

Ага, и всё это время оно работало на миллионах инсталляций и никому не мешало :)
Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править.
Я планировал его заменить на собственный DHCP4+DHCP6+RA сервер на C+LUA.
DHCP4 у меня уже в принципе работает, там только на луа осталось расписать всю логику.
DHCP6 примерно так же, но я не тестил работу, просто разбирает/собирает пакеты, в логику даже не начинал смотреть.
RA даже не брался.
А ещё вебгуй бы и прочие плюхи.
Пора реально ИИ припрягать какакодить :)

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (37), 12-Май-26, 20:12

> Ага, и всё это время оно работало на миллионах инсталляций
И?
> и никому не мешало :)
Конечно оно никому не мешало ломать чужие компы.
Или у вас есть доказательство, что никто посторонний никуда не ходил?
> Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править.
Там всего 35к строк кода.
Просто если дом лепить из овна и палок, то качество получится соответствующее.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 20:40

И много наломали? Какой реальный ущерб?
35к строк кода для такого проекта очень много.
У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала.
Примерно по 3к строк кода на DHCP4/DHCP6 реализацию протоколов и биндингов в луа ушло.
Ещё наверное 5к остальной С код для сетей, потоков и пр.
Дальше на луа логика компактная получается, относительно, там практически можно сказать что это конфиг и не считать за код :)
DNS - ещё 1-2к строк кода.
RA в пределах 3к.
Итого где то 15к строк на С, ещё 5к можно для луа кода оставить.
Если накинуть интерпретатор луа то со всеми натягами 30к получается, но функционала и гибкости на порядки больше влезет.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (45), 12-Май-26, 20:53

> И много наломали? Какой реальный ущерб?
Думаю ущерб будут еще считать, и найдут взломы, которые непонятно как случились.
Но это не важно, так как вам пофиг.
> 35к строк кода для такого проекта очень много.
> У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала.
Ну так не сравнивайте ЯП высокого уровня и ассембрер-переросток)

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 21:10

Никто уже ничего не найдёт.
Технически то луа тоже на С так что можно сказать что это С либа для парсинга конфига :)

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (20), 12-Май-26, 21:30

>И много наломали? Какой реальный ущерб?
Как вы собираетесь это определять для нулевого дня? В этом та весь и смысл, даже если машину взломают, вы не поймёте как.
>Дальше на луа логика компактная получается, относительно, там практически можно сказать что это конфиг и не считать за код :)
Вот не могут сишники писать на си, обязательно надо луа вкорячить. Или питон или js.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

59. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 22:30

Я вообще последнее время часто на shell script пишу, потому что задачи такие.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Дырик (?), 12-Май-26, 18:22

Это только самая вершина айсберга. Кто приберёг все самое интересное для pwn2own, c 14 мая начнут сдавать баги, а далее просто начнут расчехлять всё ;)
Серьезные уязвимости, на поиск которых требовались месяцы работы топовых специалистов, теперь может найти средненький специалист за дни-недели.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним (18), 12-Май-26, 19:19

ты говоришь об этом, как будто это что-то плохое!

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." –1 +/–

Сообщение от Аноним83 (?), 12-Май-26, 20:00

Ну расчехлят, ну обновимся может быть, когда руки дойдут и что дальше?
Уже даже в венде как то так научились делать чтобы черви не самоходили, а уж там то всегда была гомогенная среда, самая сладкая для такого.
Вроде больше 5 лет прошло с последнего массового выгула самохода, если ничего не путают, а то и все 23 - там то уж точно самоходность была в полный рост :)
Линукса и прочие - их всегда было мало и они все на друг друга не похожи - умучаешься самохода писать ради полутора калек.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

17. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним (17), 12-Май-26, 19:15

https://github.com/openwrt/openwrt/pull/23316

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним (23), 12-Май-26, 19:37

> позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6
то есть если в твоей квартирной сети есть телефон с максом то он угонит твой роутер с опенврт и установит на него бекдор от гебухи.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Аноним83 (?), 12-Май-26, 19:54

Увы но нет.
В андройдах нет DHCP6 поддержки вообще, только RA.
Удивительно что в RA реализации dnsmasq ничего не нашлось :)

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (-), 12-Май-26, 20:14

В андроиде приложуха не может отправить UDP пакет? Там это, в браузере, QUIC/HTTP3 реализовано без поддержки со стороны системы.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним83 (?), 12-Май-26, 20:43

Это да, тут вы правы.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (21), 13-Май-26, 00:12

> телефон с максом
Там пока прочухают, согласуют, все бумажки подпишуть... уже и все уязвимые роутеры помрут от рассохшихся конденсаторов.
Слишком сложно.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

71. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (66), 13-Май-26, 01:59

Не сложно. По методичке же начали детектить впны на девайсах у ло^w нормисов, могут и дальше пойти и начать сканить локалку такого девайса с малварью на борту.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от Zenitur (ok), 12-Май-26, 19:51

Ждём фикс во Freexian.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +/–

Сообщение от Аноним (34), 12-Май-26, 20:09

> Проект Dnsmasq задействован в платформе Android
Рутаем любую мобилу?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..." +1 +/–

Сообщение от жявамэн (ok), 12-Май-26, 21:06

dnscrypt-proxy
больше ничего не нужно

Ответить | Правка | Наверх | Cообщить модератору

72. Скрыто модератором +/–

Сообщение от runoverheads (ok), 13-Май-26, 04:10

поясните откуда root, ведь при старте демон сбрасывает права до пользователя dnsmasq ?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–7 +/–
Сообщение от Аноним (1), 12-Май-26, 18:03
У всех нормальных unbound.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+2 +/–
	Сообщение от Аноним83 (?), 12-Май-26, 18:07
	А DHCPv6 чем раздавать?)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–5 +/–
	Сообщение от Аноним (10), 12-Май-26, 18:28
	Kea. Плюс для дома это редко нужно. А вот dns сервер с поддержкой doh, резолвера и кеша нужен всегда. Вечно дергать glibc - глупая затея.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–2 +/–
	Сообщение от Аноним83 (?), 12-Май-26, 19:37
	Kea тяжёловата и сложновата. Мне DoH/DoT даром не нужны, я порезал все известные IP этих сервисов дома, чтобы туда не лазали всякие андройды в обход домашнего unbound с его чёрными списками. Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (49), 12-Май-26, 21:17
	> Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound? Ну если приложение берет сервера не из /etc/resolv.conf, то никак. Разве что руткит прикрутить и хуки повесить. Но это уже такой момент.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 22:15
	Вот взяло приложение из resolv.conf nameserver 127.0.0.1 дальше то оно libc и будет дёргать. Если речь шла про то что кеш не покидает хоста или локалки (смотря где unbound) стоит - то это да, в остальных случаях я только про кеш внутри приложений встречал, но это каждый раз отдельные реализации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (60), 12-Май-26, 22:34
	> кеш не покидает хоста или локалки (смотря где unbound) стоит Верно, сорри. Неправильно выразился. > в остальных случаях я только про кеш внутри приложений встречал, Да, у тех же браузеров есть, секунд 60, наверное.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+1 +/–
	Сообщение от wd (?), 12-Май-26, 20:20
	а зачем его раздавать? там же slaac есть, очень даже работает
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	40. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 20:29
	Не точно выразился: чем IPv6 адреса раздавать? Стоит проблема контроля того какие хосты в сети какие IP адреса юзают. Для IPv4 я просто статику по дхцп выдаю, а с IPv6 они сами пачками адреса гребут по RA.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (66), 13-Май-26, 01:41
	MAC рандомный выключи на девайсах, где жто не нужно, и будет у тебя статичный айпишник в IPv6. Приватность, если что, ещё включить надо на компах, а телефонам пофигу, они и так у тебя в dhcp могут привторится каким угодно MAC и получить любой айпишник, или вообще не пользоваться твоим DHCP и самоприсвоить статику.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 13-Май-26, 01:55
	Тут дело в управлении внутри своей локалки. Допустим я бы детям коей чего резал на фаере, но IPv6 не даёт возможности это делать гарантированно. Потом никакой отчётности и статистики, даже сходу не понять кто выжрал весь канал в случае чего: если ип4 можно слазать-посмотреть в базу лиз днсмаска, то ипв6 - это квест через мак адрес.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (42), 12-Май-26, 20:42
	Обнови dnsmasq
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	50. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (49), 12-Май-26, 21:18
	И что, там doh есть? + Другие фишки типа prefetch и т.д
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+3 +/–
	Сообщение от Аноним (4), 12-Май-26, 18:08
	он разжирел с годами. Я может не нормальный, у меня dnsmasq
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	24. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–1 +/–
	Сообщение от Аноним83 (?), 12-Май-26, 19:40
	Да, это точно. Заглянул вчера в доку, после примерно 5 лет не заглядывания - а там столько всякого наросло. С другой стороны там до сих пор не сделали фильтр для IPv6 записей, ктогда как для IPv4 есть - типа не по феншую, так и приходится через ж. фильтровать некоторые домены от IPv6. dnsmasq не имеет рекурсера, это существенный недостаток. А ещё там внутри начинка мне не нравится - как раз в декабре там лазал, смотрел на DHCP часть, чувствуется что писали люди из 90х.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Заноним (?), 12-Май-26, 21:50
	> dnsmasq не имеет рекурсера, это существенный недостаток. имеет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 22:20
	https://wiki.archlinux.org/title/Dnsmasq Since dnsmasq is a stub resolver not a recursive resolver you must set up forwarding to an external DNS server. https://thekelleys.org.uk/dnsmasq/doc.html The DNS subsystem provides a local DNS server for the network, with forwarding of all query types to upstream recursive DNS servers and caching of common record types Те своего рекурсера там нет, он всегда спрашивает у кого то и тот кто то сам бегает по всем днс начиная с корня пока не найдёт нужное и не отдаст ему. Я когда то писал сам рекурсер для днс - очень запарная тема. А написать такой как днсмаск весьма просто.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (21), 12-Май-26, 19:25
	Роутеров?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	28. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–1 +/–
	Сообщение от Аноним83 (?), 12-Май-26, 19:46
	У роутеров нынче столько лишней памяти что unbound там прекрасно живёт. Он в общем то и на 64мб озу уже жить может, в OpenWRT или самом unbound есть пресет под минимальное потребление памяти как раз. Я его как раз юзал в мобильных роутерах с OpenWRT, там правда есть нюансы настройки, я их у себя в вики описывал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (21), 13-Май-26, 00:09
	В 64 Мб, я думаю, уже и графическое окружение можно какое-то впихнуть. Вопрос только -- зачем? Зачем значительную часть оперативной памяти отдавать под одну единственную программу-демон, которая выполняет одну из десятка функций?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+1 +/–
	Сообщение от Аноним83 (?), 13-Май-26, 00:31
	У меня там списки блокировки всяких негодных доменов, мне такой сервис нужен. А под что ещё память роутера использовать?
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	–2 +/–
Сообщение от Аноним83 (?), 12-Май-26, 18:07
На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один с DNS. На практике от этого толку около нуля, учитывая что DHCPv6 только в локалке и обычно его не юзают, а DNSSEC вендоры вроде не включают, ибо им не нужны багрепорты на пустом месте. Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю. Я уже почти все сервисы поубирал в chroot, и буду теперь как мяв с её томоей - смотреть за цирком со стороны :)
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+2 +/–
	Сообщение от Аноним (14), 12-Май-26, 19:04
	> свести ущерб от всех атак примерно к нулю Чудны дела твои... Что, от отравления кэша DNS chroot помогает? Вот это нанотехнологии!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 19:41
	А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (66), 13-Май-26, 01:45
	От отравления кэша помогает только DNSSEC либо туннель вокруг того, кто его тебе отравляет (твой провайдер, больше собственно то и некому).
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	69. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 13-Май-26, 01:52
	От отравления кеша помогает DNS@TCP - изначально заложенный в протоколе. DNSSEC помогает обчебурнетится на ровном месте.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+1 +/–
	Сообщение от Аноним (10), 12-Май-26, 19:08
	> Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Ну, значит можно не фиксить rcешки > chroot После недавних copy fuck и dirty fag? Шутник. > смотреть за цирком со стороны :) Шею свернешь) Твой чрут в пять секунд разберут и пойдут плясать вокруг тебя. > Я уже почти все сервисы поубирал в chroot Systemd с namespace и seccompo попробуй.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	26. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 19:43
	> После недавних copy fuck и dirty fag? Шутник. Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые. И конфиг. Что ты с этим сделаешь то? Запишешь в /tmp - а от туда не запускается, ибо noexec+nosuid.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним (60), 12-Май-26, 22:14
	> Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые. Тут спасает то, что это кастомный костыль и вероятность, что эксплойт учитывает этот сценарий минимальна. А так, если есть RCE в dnsmasq и LPE в ядре, исход может быть печальным.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выпо..."	+/–
	Сообщение от Аноним83 (?), 12-Май-26, 22:26
	...или закладка в железе типа ME/PSP... Вопрос то всегда в цене. Если готовы заплатить достаточно - то и физически могут вломится, устроить термальный анализ и тп, вы почему то всё сводите к дешман скрипткидди взломам. RCE то допустим там есть, но тоже они разные бывают. В случае с chroot где все под RO нужно чтобы rce влил кусок кода прямо в память процесса и передал ему управление. Подобное водится в штучных экземплярах в принципе. Для LPE тоже часто разные условия бывают, может так легко оказатся что, например, нужное устройство просто не проброшено в chroot.
	Ответить \| Правка \| Наверх \| Cообщить модератору