概要
- 2026年5月11日、dnsmasqに関する6件の重大なCVEがCERTから公開
- これらの脆弱性はほぼ全ての現行バージョンに該当
- パッチ適用済みの「2.92rel2」リリースと詳細情報が公式サイトで公開
- AIによるバグ報告の急増と今後のリリース計画について言及
- 次期安定版2.93の早期リリースとテスト協力の呼びかけ
dnsmasqに関する重大なセキュリティ脆弱性の公開
- 2026年5月11日、 CERT が dnsmasq の深刻な脆弱性に関する 6件のCVE を公開
- これらのバグは 長期間存在 し、 ほぼ全ての現行バージョン に影響
- 脆弱性情報とパッチは公式サイト(https://thekelleys.org.uk/dnsmasq/CVE/)で公開
- パッチ適用済みの「 2.92rel2」がダウンロード可能
- 開発版ツリーにも修正コミットを順次アップロード予定
- 一部はバックポートと同じパッチを使用し、一部は根本的な修正を実施
AIによるセキュリティ研究の進展と対応
- AIベースのセキュリティ研究 が進化し、 バグ報告の急増
- 多数の重複報告の整理や、公開すべきバグと事前開示すべきバグの選別を実施
- 「善意の研究者」が発見できるバグは「悪意の攻撃者」も発見可能との認識
- 長期の情報公開制限(エンバーゴ)はあまり意味がないと判断
- エンバーゴ調整やバックポート作業の負担増大
今後のリリース方針とテスト協力のお願い
- 今後の優先順位 は「将来に向けての修正」と「バグのない新リリース」の実現
- 公開前数週間で多くのセキュリティ修正コミットを実施
- 近日中に「 dnsmasq-2.93rc1」をタグ付けし、早期の安定版2.93リリースを目指す方針
- コミュニティによるリリース候補版のテスト協力を強く希望
- AI生成のバグ報告の増加 により、同様の対応が今後も繰り返される可能性
- 2.93でできる限り多くのバグを修正しつつ、リリースの迅速化を優先
- リリース後も継続的な対応を予定