一、概要

近日，華為云關(guān)注到國(guó)外安全團(tuán)隊(duì)JSOF發(fā)布風(fēng)險(xiǎn)通知，披露開源DNS轉(zhuǎn)發(fā)軟件Dnsmasq存在多處高危漏洞。該批漏洞被命名為“DNSpooq”，分為如下兩部分：

1、處理DNSSEC數(shù)據(jù)的內(nèi)存問(wèn)題，會(huì)導(dǎo)致DNS緩存投毒觸發(fā)拒絕服務(wù)和潛在的遠(yuǎn)程代碼執(zhí)行。

CVE-2020-25681 高危

CVE-2020-25682 高危

CVE-2020-25683

CVE-2020-25687

2、校驗(yàn)DNS響應(yīng)的問(wèn)題，會(huì)導(dǎo)致DNS緩存投毒觸發(fā)拒絕服務(wù)。

CVE-2020-25684

CVE-2020-25685

CVE-2020-25686

華為云提醒使用Dnsmasq的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq-Technical-WP.pdf

https://www.jsof-tech.com/disclosures/dnspooq/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Dnsmasq < 2.83

安全版本：

Dnsmasq  2.83

四、漏洞處置

目前官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。

部分臨時(shí)規(guī)避措施：

1、如果環(huán)境中不需要，請(qǐng)配置dnsmasq不監(jiān)聽(tīng)WAN接口；

2、減少允許轉(zhuǎn)發(fā)的最大查詢，默認(rèn)值是150，配置選項(xiàng)--dns-forward-max=<querys> ；

3、在升級(jí)安全版本之前暫時(shí)禁用DNSSEC驗(yàn)證選項(xiàng)；

4、啟用一些DNS安全傳輸?shù)膮f(xié)議(如DoH, DoT)

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。