Dnsmasqに複数の脆弱性 - Google指摘

Googleは10月2日(米国時間)、「Google Online Security Blog: Behind the Masq: Yet more DNS, and DHCP, vulnerabilities」において、DNSソフトウェアパッケージ「Dnsmasq」に複数の脆弱性が存在すると伝えた。最新バージョンとなるDnsmasq 2.78ではこれら脆弱性は修正されており、Androidでは、同日に公開された月例パッチ「2017-10-01」でこれら脆弱性に対応している。

DnsmasqはDNS、DHCP、ルータ広告、ネットワークブートなどの機能を提供するソフトウェアパッケージ。いくつかのLinuxディストリビューションで使われているほか、ホームルータやIoTデバイス、スマートフォン、ポータブル・ホットスポットなどで利用されている。軽量であるように設計されており、利用できるリソースの限定されたルータやファイアウォールなどのプロダクトで利用できる。

GoogleはDnsmasqのセキュリティ調査を実施したところ、7つの脆弱性を発見したと指摘。3つは遠隔からのコード実行に関する脆弱性、1つはデータリークの脆弱性、残り3つはDoS攻撃に関する脆弱性と説明している。PoCが提供されているため、こうした脆弱性の影響を受けるかどうかのチェックも可能だとされている。