オープンソースのDNSソフトウェア「Dnsmasq」、3件のRCE脆弱性など7件の脆弱性

　Googleは2日、オープンソースのDNSソフトウェア「Dnsmasq」における危険度の高い脆弱性3件を含む7件についての情報を公表した。脆弱性を修正した新バージョン「2.78」がGithubで公開されている。

　Dnsmasqは、DNSやDHCPなどのサービスを提供するオープンソースソフトウェア。Googleによれば、UbuntuなどのLinuxディストリビューション、コンシューマー向けのルーター、IoTデバイスなどで幅広く用いられている。

　Googleでは、発見した脆弱性の実証コードを作成し、Dnsmasqの管理者であるサイモン・ケリー氏に協力を行って、7件の脆弱性を修正したとしている。

　7件のうち3件は最も危険度の高い“Critical”で、うちヒープオーバーフロー脆弱性の「CVE-2017-14491」は細工されたDNSレスポンスにより、「CVE-2017-14492」は細工されたIPv6ルーター広告（advertisement）リクエストにより、リモートからコードを実行（RCE）できる可能性がある。スタックオーバーフローの「CVE-2017-14493」でも、細工されたDHCP v6リクエストによるRCEの可能性がある。

　重要度“Important”の脆弱性「CVE-2017-14496」は、add_pseudoheader()関数における整数アンダーフローの問題により、リモートからDoS攻撃を引き起こせるもので、Androidの10月のセキュリティ修正にも含まれている。

　脆弱性の影響を受けるDockerコンテナの管理ツール「Kubernetes」でも、バージョン「1.5.8」「1.6.11」「1.7.7」「1.8.0」がリリースされたほか、影響を受けるGoogleの各サービスも更新を行ったとのことだ。