CERT 针对 dnsmasq 中的严重安全漏洞发布了 6 个 CVE

[Dnsmasq-discuss] 安全 - 重要 Simon Kelley simon at thekelleys.org.uk Mon May 11 17:18:25 UTC 2026 上一条消息（按线程）：[Dnsmasq-discuss] dhcp 请求上的电路 ID 匹配问题 下一条消息（按线程）：[Dnsmasq-discuss] 格式错误的 RRSIG 可能会导致 dnsmasq 消息崩溃 排序方式：[日期] [主题] [作者] 今天，2026 年 5 月 11 日，CERT 针对 dnsmasq 中的严重安全漏洞发布了一组六个 CVE。这些都是长期存在的错误，几乎适用于所有非古代版本。 CVE 已预先向供应商披露，因此希望他们能够及时发布其 dnsmasq 软件包的修补版本。详细信息和补丁可在网站 https://thekelleys.org.uk/dnsmasq/CVE/ 上找到，我已经制作了当前 2.92 dnsmasq 稳定版本的“2.92rel2”版本，可以从通常的地方下载并应用了这些补丁。同时，修复开发树中这些错误的提交也将被上传。其中一些使用与向后移植相同的补丁，但有些是更全面的重写以解决根本原因。基于人工智能的安全研究发生了一场革命，在过去的几个月里，我花了很多时间处理错误报告、清除重复项（这么多重复项！），并将错误分类为需要供应商预先披露的错误和最好立即公开并修复的错误。这些判断必然是主观的，但考虑到“好人”发现这些错误的次数，毫无疑问“坏人”也能做同样的事情，所以长期禁运似乎毫无意义。还有一个问题是，对于所有参与者来说，协调禁运和提供向后移植所需的时间和精力是巨大的。我认为大多数错误的首要任务是修复它们，并让新的 dnsmasq 版本尽可能没有错误。为此，您可能已经注意到，在此公告发布之前的几周内，对 git 存储库进行了许多安全修复提交。我很快就会标记 dnsmasq-2.93rc1，目标是尽快完成稳定的 2.93 版本。这里的成员对候选版本的测试很重要，我鼓励任何有能力的人尽快这样做。如果幸运的话，2.93 可能会在一周左右发布。人工智能生成的错误报告海啸没有停止的迹象，因此这个过程很可能很快就会再次重复。尽可能多地修复 2.93 中持续出现的错误流与及时发布之间存在着矛盾。我计划优先考虑及时性，并在必要时继续工作。西蒙.上一条消息（按线程）： [Dnsmasq-discuss] dhcp 请求上的电路 ID 匹配问题 下一条消息（按线程）： [Dnsmasq-discuss] 格式错误的 RRSIG 会使 dnsmasq 崩溃 消息排序依据： [ 日期 ] [ 线程 ] [ 主题 ] [ 作者 ] 有关 Dnsmasq-discuss 邮件列表的更多信息