近期，国家信息安全漏洞共享平台（CNVD）收录了DNSmasq多个安全漏洞（CNVD-2017-29278、CNVD-2017-29277、CNVD-2017-29276、CNVD-2017-29275、CNVD-2017-29274、CNVD-2017-29273、CNVD-2017-29272）。远程攻击者可在目标系统上执行任意代码、造成服务崩溃或窃取内存敏感信息，影响范围涉及服务器、终端（包括移动终端）操作系统发行版本及相关组件，且当前利用方法已经公开，有可能诱发大规模攻击。

一、漏洞情况分析

DNSmasq是一款广泛使用的开源软件，提供DNS、DHCP、路由器广告和网络引导服务。在DNS服务中，DNSmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度；在DHCP 服务，DNSmasq可以用于为局域网电脑分配内网ip地址和提供路由。它还被广泛用于智能手机和便携式热点，并支持虚拟化框架中的虚拟网络。支持的平台包括Linux(与glibc和uclibc)、Android、* BSD和Mac OS x。Dnsmasq包含在大多数Linux发行版和FreeBSD、OpenBSD和NetBSD的端口系统中。此外，Dnsmasq对IPv6网络也提供了完整支持。

近日谷歌安全研究人员发现Dnsmasq存在7个高危漏洞，相关漏洞详情如下：

上述漏洞可以通过DNS和DHCP协议远程触发，在特定情况下，攻击者通过构造特定数据包请求，导致远程代码执行、信息泄露和拒绝服务。CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

漏洞影响范围十分广泛，涉及Linux以及Android操作系统发行版本以及多个自身组件版本，也波及到一些网络设备或终端设备固件。CNVD用户组成员单位华为公司对其生产的产品情况进行了风险自查，在已排查的有可能采用相关组件的HG8021H、HG8045A、HG8045A2、HG8245A、HG8247H多款路由器中，确认未受漏洞影响。

三、漏洞处置建议

DNSmasq 2.78版本已修复了这些漏洞，用户可通过链接：http://www.thekelleys.org.uk/dnsmasq/自行更新。如未能更新，可以采用以下临时解决方案：

必要情况下，请关闭影响DNSmasq安全的配置选项；使用白名单机制，这样可以使DNSmasq服务限制访问权限；使用可信的DNS服务。

参考链接：

http://www.thekelleys.org.uk/dnsmasq/doc.html

http://www.securityfocus.com/bid/101085

http://securitytracker.com/id/1039474