Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root"	+/–
Сообщение от opennews (??), 12-Май-26, 18:03
В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер, сервер DHCP,  сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено   6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2. Исправления также доступны в форме патчей. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы):  Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch,... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65431
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 12-Май-26, 18:03	–6 +/–
У всех нормальных unbound.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #21

2. Сообщение от Аноним83 (?), 12-Май-26, 18:07	+/–
На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один с DNS. На практике от этого толку около нуля, учитывая что DHCPv6 только в локалке и обычно его не юзают, а DNSSEC вендоры вроде не включают, ибо им не нужны багрепорты на пустом месте. Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю. Я уже почти все сервисы поубирал в chroot, и буду теперь как мяв с её томоей - смотреть за цирком со стороны :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #16, #20

3. Сообщение от Аноним83 (?), 12-Май-26, 18:07	+/–
А DHCPv6 чем раздавать?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10, #39, #42

4. Сообщение от Аноним (4), 12-Май-26, 18:08	+2 +/–
он разжирел с годами. Я может не нормальный, у меня dnsmasq
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24

5. Сообщение от Аноним (5), 12-Май-26, 18:12	+/–
>Проблемы устранены в выпуске dnsmasq 2.92rel2. Сейчас конечно уязвимости становятся ещё более опасными: https://www.tomshardware.com/tech-industry/cyber-security/st...
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Дырик (?), 12-Май-26, 18:15	+/–
There has been something of a revolution in AI-based security research, and I've spent a lot of time over the last couple of months dealing with bug reports, weeding duplicates (so many duplicates!) and triaging bugs into those which need vendor pre-disclosure and those which it's better to make public and fix immediately. … The tsunami of AI-generated bug reports shows no signs of stopping, so it is likely that this process will have to be repeated again soon.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от ruroruro (ok), 12-Май-26, 18:21	+4 +/–
Уважаемые админы OpenNET, вы можете в новостях про уязвимости сразу писать - это Local Privilege Escalation (LPE) или Remote Code Execution (RCE)? Потому что для подовляющего большинства людей LPE и RCE имеют абсолютно разные уровни важности. А фразы вроде "система загрузки по сети" и "позволяющих выполнить код с правами root" сразу создают впечатление будто это RCE. Кликбейт - это конечно хорошо, но очень не приятно, что после каждой подобной новости приходится самому лазить в первоисточники и проверять есть ли там RCE или это очередной LPE. Заранее спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13

8. Сообщение от Дырик (?), 12-Май-26, 18:22	+/–
Это только самая вершина айсберга. Кто приберёг все самое интересное для pwn2own, c 14 мая начнут сдавать баги, а далее просто начнут расчехлять всё ;) Серьезные уязвимости, на поиск которых требовались месяцы работы топовых специалистов, теперь может найти средненький специалист за дни-недели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #32

9. Сообщение от Дырик (?), 12-Май-26, 18:24	+/–
RCE, Cache poisoning, infoleak, infoleak, dos, infoleak
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Аноним (10), 12-Май-26, 18:28	–3 +/–
Kea. Плюс для дома это редко нужно. А вот dns сервер с поддержкой doh, резолвера и кеша нужен всегда. Вечно дергать glibc - глупая затея.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

11. Сообщение от ruroruro (ok), 12-Май-26, 18:34	+1 +/–
> RCE [citation needed]? На странице "Vulnerability Note VU#471747", на которую ссылается пост сказано только про LPE: "A local attacker may execute arbitrary code as root via DHCPv6 manipulation", "allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet". Страничка самого CVE-2026-4892 на сайте NVD тоже классифицировано как "Attack Vector: Local". > Cache poisoning, infoleak, dos Остальное - вроде как верно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Дырик (?), 12-Май-26, 18:46	+/–
Да, действительно. Звучит странно в контексте DHCPv6-пакетов, но видимо так. Вот полное письмо: https://marc.info/?l=oss-security&m=177852314119822&w=2 >[оверквотинг удален] > > Cache Poisoning / Redirection (CVE-2026-2291, CVE-2026-4893) Attackers > may overwrite cache entries or manipulate response routing, enabling the > silent redirection of users to malicious domains. > > Information Disclosure (CVE-2026-4891, CVE-2026-4893) Internal memory > and network information may be inadvertently exposed. > > Local Privilege Escalation (CVE-2026-4892) A local attacker may execute > arbitrary code as root via DHCPv6 manipulation.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

13. Сообщение от Аноним (13), 12-Май-26, 18:49	–1 +/–
Еще было бы классно указывать сколько лет  ̶с̶у̶щ̶е̶с̶т̶в̶о̶в̶а̶л̶ ̶б̶е̶к̶д̶о̶р̶ жила дырень. Это конечно может быть сложным, так что я начну с себя)) CVE-2026-4892 - 13 лет github.com/imp/dnsmasq/blame/d42d4706bbcce3b5a40ad778a5a356a997db6b34/src/helper.c#L258 CVE-2026-2291 - 15 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnsmasq.h#L489 CVE-2026-4893 - 5 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/forward.c#L727 CVE-2026-4891 - 13 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L548 CVE-2026-4890 - 13 лет (в том же dnssec.c что и предыдущая) github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L1349 CVE-2026-5172 - всего год, свежачок! github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/rfc1035.c#L946 В общем результаты не утешительные, проект состоящий на 94.2% из дыpяшku внезапно! отказался дыpяßым. Какая неожиданность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #30

14. Сообщение от Аноним (14), 12-Май-26, 19:04	+1 +/–
> свести ущерб от всех атак примерно к нулю Чудны дела твои... Что, от отравления кэша DNS chroot помогает? Вот это нанотехнологии!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

15. Сообщение от Аноним (36), 12-Май-26, 19:07	+/–
>Local Privilege Escalation (CVE-2026-4892) A local attacker may execute > arbitrary code as root via DHCPv6 manipulation. А далее прочитать не судьба? "The likely attack vector is the local network, where an attacker can craft and send a DHCPv6 packet to the vulnerable server" Слово "local" в данном CVE употребляется в значении LAN = local network. Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19, #33, #35

16. Сообщение от Аноним (10), 12-Май-26, 19:08	+1 +/–
> Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Ну, значит можно не фиксить rcешки > chroot После недавних copy fuck и dirty fag? Шутник. > смотреть за цирком со стороны :) Шею свернешь) Твой чрут в пять секунд разберут и пойдут плясать вокруг тебя. > Я уже почти все сервисы поубирал в chroot Systemd с namespace и seccompo попробуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #26

17. Сообщение от Аноним (17), 12-Май-26, 19:15	+1 +/–
https://github.com/openwrt/openwrt/pull/23316
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 12-Май-26, 19:19	+1 +/–
ты говоришь об этом, как будто это что-то плохое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от ruroruro (ok), 12-Май-26, 19:21	+/–
> Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE Мне казалось, что DHCP нельзя (ну или бессмысленно) "выставить наружу", потому что DHCPv6 и прочие multicast пакеты не пересылаются роутерами дальше локалки. Если действительно достаточно локальной сети, а не "аккаунт на машине", то получается что CVSS не правильный (должно быть Attack Vector: Adjacent, а не Local). Ну или все-таки есть ещё какая-то причина, почему они решили пометить эту уязвимость именно как AV:L. Возможно, там что-то ещё мешает использованию "по проводу". :shrug:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #43

20. Сообщение от Аноним (20), 12-Май-26, 19:23	+/–
>Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю. Во-первых, из chroot-а можно отностельно тривиально выйти. Во-вторых, chroot вам абсолютно никак в данном вопросе не поможет. В-третьих, systemd изобретён.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27, #36

21. Сообщение от Аноним (21), 12-Май-26, 19:25	+/–
Роутеров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

22. Сообщение от Аноним83 (?), 12-Май-26, 19:37	+/–
Kea тяжёловата и сложновата. Мне DoH/DoT даром не нужны, я порезал все известные IP этих сервисов дома, чтобы туда не лазали всякие андройды в обход домашнего unbound с его чёрными списками. Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

23. Сообщение от Аноним (23), 12-Май-26, 19:37	+/–
> позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6 то есть если в твоей квартирной сети есть телефон с максом то он угонит твой роутер с опенврт и установит на него бекдор от гебухи.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

24. Сообщение от Аноним83 (?), 12-Май-26, 19:40	–1 +/–
Да, это точно. Заглянул вчера в доку, после примерно 5 лет не заглядывания - а там столько всякого наросло. С другой стороны там до сих пор не сделали фильтр для IPv6 записей, ктогда как для IPv4 есть - типа не по феншую, так и приходится через ж. фильтровать некоторые домены от IPv6. dnsmasq не имеет рекурсера, это существенный недостаток. А ещё там внутри начинка мне не нравится - как раз в декабре там лазал, смотрел на DHCP часть, чувствуется что писали люди из 90х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от Аноним83 (?), 12-Май-26, 19:41	+/–
А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

26. Сообщение от Аноним83 (?), 12-Май-26, 19:43	+/–
> После недавних copy fuck и dirty fag? Шутник. Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые. И конфиг. Что ты с этим сделаешь то? Запишешь в /tmp - а от туда не запускается, ибо noexec+nosuid.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от Аноним83 (?), 12-Май-26, 19:44	+/–
Как вы от туда собрались выходить, когда там ничего нет и писать почти некуда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от Аноним83 (?), 12-Май-26, 19:46	+/–
У роутеров нынче столько лишней памяти что unbound там прекрасно живёт. Он в общем то и на 64мб озу уже жить может, в OpenWRT или самом unbound есть пресет под минимальное потребление памяти как раз. Я его как раз юзал в мобильных роутерах с OpenWRT, там правда есть нюансы настройки, я их у себя в вики описывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от Zenitur (ok), 12-Май-26, 19:51	+/–
Ждём фикс во Freexian.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним83 (?), 12-Май-26, 19:52	+/–
Ага, и всё это время оно работало на миллионах инсталляций и никому не мешало :) Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править. Я планировал его заменить на собственный DHCP4+DHCP6+RA сервер на C+LUA. DHCP4 у меня уже в принципе работает, там только на луа осталось расписать всю логику. DHCP6 примерно так же, но я не тестил работу, просто разбирает/собирает пакеты, в логику даже не начинал смотреть. RA даже не брался. А ещё вебгуй бы и прочие плюхи. Пора реально ИИ припрягать какакодить :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #37

31. Сообщение от Аноним83 (?), 12-Май-26, 19:54	+1 +/–
Увы но нет. В андройдах нет DHCP6 поддержки вообще, только RA. Удивительно что в RA реализации dnsmasq ничего не нашлось :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #38

32. Сообщение от Аноним83 (?), 12-Май-26, 20:00	+/–
Ну расчехлят, ну обновимся может быть, когда руки дойдут и что дальше? Уже даже в венде как то так научились делать чтобы черви не самоходили, а уж там то всегда была гомогенная среда, самая сладкая для такого. Вроде больше 5 лет прошло с последнего массового выгула самохода, если ничего не путают, а то и все 23 - там то уж точно самоходность была в полный рост :) Линукса и прочие - их всегда было мало и они все на друг друга не похожи - умучаешься самохода писать ради полутора калек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

33. Сообщение от Дырик (?), 12-Май-26, 20:07	+/–
Откуда вы взяли эту цитату? Я перед ответом зашел в калькулятор CVSS, чтобы освежить знания, думал, забыл чего, но нет, local это local machine.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

34. Сообщение от Аноним (34), 12-Май-26, 20:09	+/–
> Проект Dnsmasq задействован в платформе Android Рутаем любую мобилу?
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Дырик (?), 12-Май-26, 20:09	+/–
Ваша цитата Generated by OpenCVE AI on May 11, 2026 at 20:37 UTC., не соответствует действительности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

36. Сообщение от Аноним (36), 12-Май-26, 20:11	+/–
>из chroot-а можно отностельно тривиально выйти Правда что-ли? Поделись сакральным знанием. Расскажи как "тривиально" выходят из пустого чрута, в котором кроме необходимых либ и единственного исполняемого файла больше ни чего нет и отсутствуют права записи ни в один каталог.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

37. Сообщение от Аноним (37), 12-Май-26, 20:12	+/–
> Ага, и всё это время оно работало на миллионах инсталляций И? > и никому не мешало :) Конечно оно никому не мешало ломать чужие компы. Или у вас есть доказательство, что никто посторонний никуда не ходил? > Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править. Там всего 35к строк кода. Просто если дом лепить из овна и палок, то качество получится соответствующее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

38. Сообщение от Аноним (-), 12-Май-26, 20:14	+/–
В андроиде приложуха не может отправить UDP пакет? Там это, в браузере, QUIC/HTTP3 реализовано без поддержки со стороны системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #44

39. Сообщение от wd (?), 12-Май-26, 20:20	+/–
а зачем его раздавать? там же slaac есть, очень даже работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #40

40. Сообщение от Аноним83 (?), 12-Май-26, 20:29	+/–
Не точно выразился: чем IPv6 адреса раздавать? Стоит проблема контроля того какие хосты в сети какие IP адреса юзают. Для IPv4 я просто статику по дхцп выдаю, а с IPv6 они сами пачками адреса гребут по RA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Аноним83 (?), 12-Май-26, 20:40	+/–
И много наломали? Какой реальный ущерб? 35к строк кода для такого проекта очень много. У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала. Примерно по 3к строк кода на DHCP4/DHCP6 реализацию протоколов и биндингов в луа ушло. Ещё наверное 5к остальной С код для сетей, потоков и пр. Дальше на луа логика компактная получается, относительно, там практически можно сказать что это конфиг и не считать за код :) DNS - ещё 1-2к строк кода. RA в пределах 3к. Итого где то 15к строк на С, ещё 5к можно для луа кода оставить. Если накинуть интерпретатор луа то со всеми натягами 30к получается, но функционала и гибкости на порядки больше влезет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #45

42. Сообщение от Аноним (42), 12-Май-26, 20:42	+/–
Обнови dnsmasq
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

43. Сообщение от Аноним83 (?), 12-Май-26, 20:42	+/–
Ставить наружу реально бессмысленно (хотя такие выставители у горе провайдеров часто ложат сегмент сети - роутер начинает выдавать адреса соседям чудо абонента и инет у них ломается), однако это не значит что из инета нельзя получать DHCP пакетов :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

44. Сообщение от Аноним83 (?), 12-Май-26, 20:43	+/–
Это да, тут вы правы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

45. Сообщение от Аноним (45), 12-Май-26, 20:53	+/–
> И много наломали? Какой реальный ущерб? Думаю ущерб будут еще считать, и найдут взломы, которые непонятно как случились. Но это не важно, так как вам пофиг. > 35к строк кода для такого проекта очень много. > У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала. Ну так не сравнивайте ЯП высокого уровня и ассембрер-переросток)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от жявамэн (ok), 12-Май-26, 21:06	+/–
dnscrypt-proxy больше ничего не нужно
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема