「Dnsmasq」に複数の脆弱性が発見された。

「Dnsmasq」は、DNSサーバのフォワーダとDHCPサーバの機能、DNSキャッシュサーバ、TFTPサーバ機能を合わせ持つソフトウェア。Googleによって開発されており、UbuntuなどのLinuxディストリビューションやコンシューマ向けルータなどで利用されている。

今回発表された脆弱性は、ヒープベースのバッファオーバーフロー (CVE-2017-14491、CVE-2017-14492）、スタックベースのバッファオーバーフロー (CVE-2017-14493）、情報漏えい (CVE-2017-14494）、無制限なリソースの消費（リソース枯渇、CVE-2017-14495）、整数アンダーフロー (CVE-2017-14496/CVE-2017-13704）。悪用されると、リモートから任意のコード実行、情報の漏えい、DoS攻撃を受ける危険など。

これらの脆弱性を修正した「Dnsmasq 2.78」がリリースされており、ユーザは早急なアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVNVU#93453933
Google Security Blog