Шесть критических уязвимостей в dnsmasq

У меня дома стоит три роутера. На каждом из них — dnsmasq. Умный телевизор? Тоже dnsmasq. Камера видеонаблюдения? Скорее всего. Этот маленький DNS-сервер (DNS — система преобразования имён сайтов в IP-адреса, как цифровая телефонная книга), который большинство людей никогда не слышало, скрывается буквально везде: в домашних роутерах, IoT-гаджетах (IoT — Internet of Things, умные устройства: лампочки, камеры, термостаты), Kubernetes-кластерах (Kubernetes — система управления контейнерами, как оркестратор для приложений), даже в некоторых автомобильных системах.

И вот 11 мая 2026 года случилось то, что заставляет нервно почесать затылок любого, кто связан с инфраструктурой: CERT (Coordination Center — организация, координирующая реагирование на уязвимости) выпустил шесть критических CVE (Common Vulnerabilities and Exposures — международный каталог уязвимостей) для dnsmasq. Шесть. Сразу.

Что такое dnsmasq и почему он везде

Для тех, кто не в теме: dnsmasq — это легковесный DNS- и DHCP-сервер (DHCP — протокол автоматической раздачи IP-адресов устройствам в сети). Он умеет кэшировать DNS-запросы, раздавать IP-адреса в локальной сети и делать кучу других полезных вещей. Главное — он невероятно компактный и нетребовательный к ресурсам.

Именно поэтому его пихают куда угодно. ASUS, TP-Link, Netgear — все они используют dnsmasq в своих прошивках. OpenWrt и DD-WRT? Тоже dnsmasq. Docker, Podman, MiniKube? Без него никуда. Даже некоторые автомобильные информационно-развлекательные системы используют его для разрешения имён в локальной сети.

То есть уязвимость в dnsmasq — это не «ой, какой-то там серверный софт». Это потенциальная дыра в миллионах устройств по всему миру.

Что именно нашли

Simon Kelley, создатель dnsmasq, написал в рассылке, что все шесть уязвимостей — это «long-standing bugs», то есть баги, которые живут в коде уже давно. Годы. Они есть практически во всех версиях, которые нельзя назвать древними.

CERT провёл предварительное раскрытие информации вендорам, чтобы те успели выпустить патчи. Параллельно Саймон выпустил версию 2.92rel2 с исправлениями. Также в разработке — версия 2.93, релиз-кандидат которой планируется буквально на днях.

Но вот что действительно интересно: Саймон упоминает, что последние месяцы он буквально захлёбывался в потоке баг-репортов от AI-систем безопасности. Представьте: автоматические сканеры находят уязвимости, присылают отчёты, а он сидит и разбирает их, отсеивает дубликаты (их оказалось охрененно много) и решает, какие из них требуют срочного патчинга (установка исправлений безопасности).

Почему это важно

АТАКА ЧЕРЕЗ DNSMASQ
────────────────────
   ┌──────────┐      ┌──────────┐      ┌──────────┐
   │  Жертва  │─────▶│ dnsmasq  │─────▶│ DNS      │
   │(устрой-  │      │(уязвимый)│      │сервер    │
   │ство)     │      └──────────┘      └──────────┘
   └──────────┘            │
                          ▼
                   ┌──────────────┐
                   │ Переполнение │
                   │ буфера / RCE │
                   └──────────────┘

Что это значит на практике? Злоумышленник может:

• Перехватить трафик — подменить DNS-ответ и отправить вас на фишинговый сайт
• Выполнить произвольный код — если повезёт с версией и конфигурацией (RCE — Remote Code Execution, удалённое выполнение кода, взлом)
• Уронить сервис — DoS-атака (Denial of Service — отказ в обслуживании, атака с целью повесить сервис), причём часто без аутентификации
• Перенаправить трафик — весь DNS-трафик вашей сети идёт через скомпрометированный dnsmasq

Причём Саймон прямо говорит: если «хорошие ребята» (белые хакеры и AI-сканеры) находили эти баги, то и «плохие ребята» наверняка тоже их находили. Просто молчали и эксплуатировали.

Что делать

Первое и самое очевидное — обновиться. Если вы используете dnsmasq в своей инфраструктуре:

1. Проверьте версию — она указана в выводе dnsmasq --version
2. Обновите до 2.92rel2 или дождитесь стабильного релиза 2.93
3. Обновите прошивки роутеров — если производитель уже выпустил патч
4. Мониторьте трафик — необычные DNS-запросы могут указывать на компрометацию

Для тех, кто не может обновиться прямо сейчас:

• Ограничьте доступ к DNS-порту (обычно 53/UDP и 53/TCP) только доверенными хостами
• Включите логирование DNS-запросов — хотя бы временно, чтобы отследить подозрительную активность
• Рассмотрите альтернативы: на критичных системах можно временно перейти на другой DNS-сервер

Отдельное слово про iot

Вот где всё грустно. Умные лампочки, камеры, термостаты — они часто работают на устаревших версиях прошивок, и обновление для них либо не выходит, либо требует «танцев с бубном».

ЭКОСИСТЕМА DNSMASQ
───────────────────
        ┌─────────────────────────────────────┐
        │           dnsmasq                   │
        └─────────────────────────────────────┘
        ▲        ▲        ▲        ▲        ▲
   ┌────┴───┐┌───┴──┐┌────┴──┐┌───┴───┐┌────┴───┐
   │Роутеры ││IoT   ││Серверы││Контей-││Прочее  │
   │(ASUS,  ││камеры,││Linux  ││неры   ││(авто,  │
   │TP-Link)││лампоч-││       ││K8s,   ││Пром.   │
   │        ││ки)    ││       ││Docker)││оборуд.)│
   └────────┘└───────┘└───────┘└───────┘└────────┘
   
   ⚠️  Большинство НЕ получат обновлений

Если у вас есть устройства, которые используют dnsmasq и больше не поддерживаются производителем, задумайтесь об изоляции. VLAN (виртуальная сеть — изолированный сегмент сети) для IoT — это не паранойя, а нормальная практика.

Что дальше

Саймон в письме упомянул интересную вещь: «tsunami of AI-generated bug reports shows no signs of stopping». Волна баг-репортов от AI не собирается останавливаться. Это значит, что в ближайшее время нас ждёт ещё больше подобных раскрытий.

С одной стороны, это хорошо — баги находят быстрее. С другой — возникает вопрос: а сколько ещё таких «long-standing bugs» сидит в популярном софте, который мы все используем?

Лично меня зацепила фраза про embargo (в контексте безопасности — запрет на раскрытие информации до патча). Саймон говорит, что долгие эмбарго бессмысленны: пока все согласовывают сроки, баги уже эксплуатируются. Приоритет — быстрое исправление, а не бюрократия. Здравая мысль, особенно когда речь о критических уязвимостях.

Вместо вывода

Шесть CVE в dnsmasq — это не конец света, но напоминание о том, как устроена современная безопасность. Уязвимости живут годами, их находят все кому не лень (включая AI), а патчатся они с переменным успехом.

Проверьте свои системы. Обновитесь. Изолируйте то, что нельзя обновить. И да — если у вас есть десяток «умных» устройств, которые не обновлялись год, может, стоит задуматься, так ли они нужны.

Ссылки

• Страница CVE на сайте dnsmasq — список уязвимостей
• Релиз 2.92rel2 — информация о последнем обновлении
• Рассылка dnsmasq-discuss с оригинальным анонсом — письмо от Simon Kelley