ニュース
オープンソースのDNSソフトウェア「Dnsmasq」、3件のRCE脆弱性など7件の脆弱性
Linux搭載のIoT機器やルーター、AndroidデバイスやKubernetesに影響
2017年10月3日 13:54
Googleは2日、オープンソースのDNSソフトウェア「Dnsmasq」における危険度の高い脆弱性3件を含む7件についての情報を公表した。脆弱性を修正した新バージョン「2.78」がGithubで公開されている。
Dnsmasqは、DNSやDHCPなどのサービスを提供するオープンソースソフトウェア。Googleによれば、UbuntuなどのLinuxディストリビューション、コンシューマー向けのルーター、IoTデバイスなどで幅広く用いられている。
Googleでは、発見した脆弱性の実証コードを作成し、Dnsmasqの管理者であるサイモン・ケリー氏に協力を行って、7件の脆弱性を修正したとしている。
7件のうち3件は最も危険度の高い“Critical”で、うちヒープオーバーフロー脆弱性の「CVE-2017-14491」は細工されたDNSレスポンスにより、「CVE-2017-14492」は細工されたIPv6ルーター広告(advertisement)リクエストにより、リモートからコードを実行(RCE)できる可能性がある。スタックオーバーフローの「CVE-2017-14493」でも、細工されたDHCP v6リクエストによるRCEの可能性がある。
重要度“Important”の脆弱性「CVE-2017-14496」は、add_pseudoheader()関数における整数アンダーフローの問題により、リモートからDoS攻撃を引き起こせるもので、Androidの10月のセキュリティ修正にも含まれている。
脆弱性の影響を受けるDockerコンテナの管理ツール「Kubernetes」でも、バージョン「1.5.8」「1.6.11」「1.7.7」「1.8.0」がリリースされたほか、影響を受けるGoogleの各サービスも更新を行ったとのことだ。