ニュース

オープンソースのDNSソフトウェア「Dnsmasq」、3件のRCE脆弱性など7件の脆弱性

Linux搭載のIoT機器やルーター、AndroidデバイスやKubernetesに影響

 Googleは2日、オープンソースのDNSソフトウェア「Dnsmasq」における危険度の高い脆弱性3件を含む7件についての情報を公表した。脆弱性を修正した新バージョン「2.78」がGithubで公開されている。

 Dnsmasqは、DNSやDHCPなどのサービスを提供するオープンソースソフトウェア。Googleによれば、UbuntuなどのLinuxディストリビューション、コンシューマー向けのルーター、IoTデバイスなどで幅広く用いられている。

 Googleでは、発見した脆弱性の実証コードを作成し、Dnsmasqの管理者であるサイモン・ケリー氏に協力を行って、7件の脆弱性を修正したとしている。

 7件のうち3件は最も危険度の高い“Critical”で、うちヒープオーバーフロー脆弱性の「CVE-2017-14491」は細工されたDNSレスポンスにより、「CVE-2017-14492」は細工されたIPv6ルーター広告(advertisement)リクエストにより、リモートからコードを実行(RCE)できる可能性がある。スタックオーバーフローの「CVE-2017-14493」でも、細工されたDHCP v6リクエストによるRCEの可能性がある。

 重要度“Important”の脆弱性「CVE-2017-14496」は、add_pseudoheader()関数における整数アンダーフローの問題により、リモートからDoS攻撃を引き起こせるもので、Androidの10月のセキュリティ修正にも含まれている。

 脆弱性の影響を受けるDockerコンテナの管理ツール「Kubernetes」でも、バージョン「1.5.8」「1.6.11」「1.7.7」「1.8.0」がリリースされたほか、影響を受けるGoogleの各サービスも更新を行ったとのことだ。