ハクソク

世界を動かす技術を、日本語で。

CERTが「dnsmasq」の深刻なセキュリティ脆弱性に関する6件のCVEを公開します

8時間前原文(lists.thekelleys.org.uk)

概要

  • 2026年5月11日、dnsmasqに関する6件の重大なCVEがCERTから公開
  • これらの脆弱性はほぼ全ての現行バージョンに該当
  • パッチ適用済みの「2.92rel2」リリースと詳細情報が公式サイトで公開
  • AIによるバグ報告の急増と今後のリリース計画について言及
  • 次期安定版2.93の早期リリースとテスト協力の呼びかけ

dnsmasqに関する重大なセキュリティ脆弱性の公開

  • 2026年5月11日CERTdnsmasq の深刻な脆弱性に関する 6件のCVE を公開
  • これらのバグは 長期間存在 し、 ほぼ全ての現行バージョン に影響
  • 脆弱性情報とパッチは公式サイト(https://thekelleys.org.uk/dnsmasq/CVE/)で公開
  • パッチ適用済みの「 2.92rel2」がダウンロード可能
  • 開発版ツリーにも修正コミットを順次アップロード予定
  • 一部はバックポートと同じパッチを使用し、一部は根本的な修正を実施

AIによるセキュリティ研究の進展と対応

  • AIベースのセキュリティ研究 が進化し、 バグ報告の急増
  • 多数の重複報告の整理や、公開すべきバグと事前開示すべきバグの選別を実施
  • 「善意の研究者」が発見できるバグは「悪意の攻撃者」も発見可能との認識
  • 長期の情報公開制限(エンバーゴ)はあまり意味がないと判断
  • エンバーゴ調整やバックポート作業の負担増大

今後のリリース方針とテスト協力のお願い

  • 今後の優先順位 は「将来に向けての修正」と「バグのない新リリース」の実現
  • 公開前数週間で多くのセキュリティ修正コミットを実施
  • 近日中に「 dnsmasq-2.93rc1」をタグ付けし、早期の安定版2.93リリースを目指す方針
  • コミュニティによるリリース候補版のテスト協力を強く希望
  • AI生成のバグ報告の増加 により、同様の対応が今後も繰り返される可能性
  • 2.93でできる限り多くのバグを修正しつつ、リリースの迅速化を優先
  • リリース後も継続的な対応を予定

Hackerたちの意見

有名な(特定の界隈で)ペチュニアのボウルの言葉を借りると、「ああ、またかよ!」って感じだね。

これってアーサー・デントのせいってこと?(また?)

https://xchglabs.com/blog/dnsmasq-five-cves.html

このソフトウェアが、ほとんど更新されない何百万台ものデバイスで使われてないのは良かった。

もっと言うと、ほとんどの場合、クライアントがWi-Fiステーションに認証するか、物理的にイーサネットポートに接続しない限り、パケットを送信しないデバイスに搭載されてるのが良いことだね。

Y2K26?

これがデビアンにとって、恥ずかしいほど古いdnsmasqを「安定版」でアップグレードするきっかけになるかも。新機能は思いつかないけど、最新バージョンには多くの非CVEバグ修正が含まれてるから。でも、どうせ彼らは怠けてパッチをバックポートして、フランケンシュタインみたいな一発もののバージョンを作って終わりにするんだろうな。「安定版はそういうもんだ」って言う人もいるけど、彼らは本当に壊れたパッケージをそのまま出荷したことがあるからね。修正すると「安定」じゃなくなるから、古くて役に立たないコードを出す方がマシだと思ってる。ほんとおかしいよ。

安定版に新しいバージョンは入れないと思うよ。安定版が新しいバージョンを得る方法は、まずテスト版に新しいバージョンを入れて、2年ごとにテスト版が安定版になり、安定版が古い安定版になる。その時にテスト版からの新しいバージョンが安定版に入るって感じ。文句を言うべきなのは、テスト版のバージョンが古すぎる時だね。

新しいリリースに修正が含まれてるけど、新しい依存関係があって、それにもまた新しい依存関係があったらどうなるんだろう?ターゲットアプリの境界を維持しつつ、重大な脆弱性を安定版でパッチ当てるために、時々パッケージをフランケンシュタイン的に組み合わせる必要があると思うんだ。

うーん、2.92は安定版には通常持ち込まれないような新機能や変更をいくつかもたらしている気がする。https://thekelleys.org.uk/dnsmasq/CHANGELOG

ちなみに、Debianは昨日dnsmasqのセキュリティアップデートを出したみたい。おそらくこれに対処するためだね。

...彼らは本当に壊れたパッケージをそのまま出荷したことがある。修正すると「安定版」でなくなるから。 それは関係ない議論だね。Debianの安定版のdnsmasqパッケージが完全に壊れてると非難してるわけじゃないし。

Debianプロジェクトにお金を返してもらうことはいつでもできるよ。

Debian stableを使う必要はないよ。6ヶ月ごとにUbuntuがいいならそれでもいいし、Fedora(6ヶ月?9ヶ月?)や、毎日更新されるArch Linuxでもいいしね。僕はノートパソコンにArchを使ってるけど、2年前に買ったときはamdのGPUがちょっと新しかったから、最新のカーネルやmesaを入れるのが賢明だったんだ。毎日使ってるから、週に一回の更新は悪くないし、たまに設定の移行も管理できるしね。自宅サーバーにはDebian stableを使ってるけど、10年で4回くらいインプレースアップグレードしてるよ。設定の更新を心配せずに週次のアップデートをインストールできるのがいいね。数年前にやりたかったことはほとんど設定済みで、新しい機能はあまり欲しくないけど、tailscaleとjellyfinはそれぞれのDebianパッケージリポジトリからインストールしたから、すごく最新だよ。8年前にやりたかったことを、超低メンテナンスで実現してくれてる。ただ、Debian stableが嫌ならそれでもいいよ。他の人が楽しむのを許してあげて。

でも、安定版ってそういうもんだよね。確かに、安定版の方針はめちゃくちゃだし、安定版を運用するのは頭おかしいと思う。でも、その解決策はDebianの方針を変えようとすることじゃなくて、みんなに安定版を使うのをやめさせることだと思う。誰も使わなくなったら、Debianも考え直すんじゃないかな。

https://security-tracker.debian.org/tracker/CVE-2026-2291 https://security-tracker.debian.org/tracker/CVE-2026-4890 https://security-tracker.debian.org/tracker/CVE-2026-4891 https://security-tracker.debian.org/tracker/CVE-2026-4892 https://security-tracker.debian.org/tracker/CVE-2026-4893 https://security-tracker.debian.org/tracker/CVE-2026-5172 修正済み、修正済み、修正済み、修正済み、修正済み、そして修正済み。

これらのいくつかは組み込みハードウェアに搭載されてるかもしれないから、アップデートをフラッシュするのが難しくなるかもね。

宣伝タイム:私のMaraDNSは、AIを使ったセキュリティ監査の時代に入って、徹底的に監査されました。2023年以降、深刻なセキュリティバグは一つも見つかっていません。 [1] 監査者が見つけたバグは、「完全再帰的なDeadwoodは、この異常なパケットを受け取るとリソースを解放するのに通常より時間がかかる」とか、 [2] 「2022年以降コンパイルできていないMaraDNSに含まれるサイドユーティリティにはバッファオーバーフローがあるが、$HOMEが50文字を超えない限りは発生しない」とか。 [3] 本当に、MaraDNSがこんなに安全だと分かって嬉しいです。

確かにちょっと恥ずかしいね。dnsmasqは、いろんな用途で永遠に使ってきたから、私にはすごく役立ってる。どんなソフトウェアにもバグはあるし、見つかったら修正される。作者とも連絡が取りやすいし、なんであえて実績の少ないものに乗り換えなきゃいけないの?あなたのソフトウェアにもバグがあるはずだし、まだ見つかってないのがたくさんあるんじゃない?人気がないから誰もバグを探そうとしないのかも。それって、今のところ見つかっているバグの数が少なくて、監査が進んでいるように見えても、実際にはずっと安全性が低いってことになるかもね。

そうだね、Lua 5.1(Lunacyとして)をライブラリにして読み込むんじゃなくてバンドルしちゃって、しかも2012年版を使ってるなら、CVE-2014-5461とか他の影響を受けてるかもね。Luaはセキュリティ修正が全くなかったわけじゃないから。

dnsサーバーを設定したときに、dnsmasqの「何でもやる」代わりにmaradnsを見つけて嬉しかったのを覚えてるよ。しかも、それ以来ずっと考えなくて済んでるのが一番重要だね。

MaraDNSはdnsmasqよりずっと人気がないけどね。自分が書いたライブラリがいくつかあるけど、1991年以降、深刻なセキュリティバグは一つも見つかってないよ。まあ、誰も僕のライブラリを使ってないけど…チームの成果を貶めるつもりはないよ! :D でも、こういう主張はユーザーベースについての情報を踏まえて考えることが大事だよね。

dnsmasqを使うのは好きじゃなかったな。いつも一つのツールに詰め込みすぎな感じがしてた。ローカルキャッシュリゾルバ、DHCPサーバー、TFTP/ PXEブートの設定は、別々に構成するのが好きだった。

その考え方があったから、昔からdnsホスティングにはmaradnsを使ってたんだよね。10点満点、後悔なし、オススメ!

同意だな、これってLinuxの「やり方」にも反してるよね。例えば、Opnsenseはdnsmasqのdhcp部分だけを使って(dns部分はunboundを使ってる)って、なんか「おかしい」感じがする。

OpenWRTは新しいビルドをリリースした? 答え:まだだけど、作業中だよ。 https://forum.openwrt.org/t/dnsmasq-set-of-serious-cves/2500...

それはかなりヤバいね!「DNSクエリを要求したり応答したりできるリモート攻撃者が、ヒープに大きなOOB書き込みを引き起こすことができる。」不正なDNS応答が「無限ループを引き起こし、dnsmasqがすべてのクエリに応答しなくなる。」悪意のあるDHCPリクエストがバッファオーバーフローを引き起こす可能性もある。

これが、Cで書かれたコードをメモリ安全な言語で書かれたコードに置き換える必要性が急務になってきたポイントだと思う。最近見つかった脆弱性の大多数は、メモリ安全でない言語で書かれていることに直接関連しているから、DNS/DHCPサーバーをrustやgoで書けない理由を正当化するのは非常に難しいよね(まあ、少しのunsafe呼び出しはまだ必要かもしれないけど、それはほんのわずかだろうし)。

いや、違うと思うよ。AIエージェントによって潜在的な脆弱性を見つけるための安全策が明らかに良くなってきてるじゃん!