一、概要

近日，華為云關(guān)注到國外安全團(tuán)隊JSOF發(fā)布風(fēng)險通知，披露開源DNS轉(zhuǎn)發(fā)軟件Dnsmasq存在多處高危漏洞。該批漏洞被命名為“DNSpooq”，分為如下兩部分：

1、處理DNSSEC數(shù)據(jù)的內(nèi)存問題，會導(dǎo)致DNS緩存投毒觸發(fā)拒絕服務(wù)和潛在的遠(yuǎn)程代碼執(zhí)行。

CVE-2020-25681 高危

CVE-2020-25682 高危

CVE-2020-25683

CVE-2020-25687

2、校驗DNS響應(yīng)的問題，會導(dǎo)致DNS緩存投毒觸發(fā)拒絕服務(wù)。

CVE-2020-25684

CVE-2020-25685

CVE-2020-25686

華為云提醒使用Dnsmasq的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq-Technical-WP.pdf

https://www.jsof-tech.com/disclosures/dnspooq/

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Dnsmasq < 2.83

安全版本：

Dnsmasq  2.83

四、漏洞處置

目前官方已在新版本中修復(fù)了該漏洞，請受影響的用戶升級至安全版本。

部分臨時規(guī)避措施：

1、如果環(huán)境中不需要，請配置dnsmasq不監(jiān)聽WAN接口；

2、減少允許轉(zhuǎn)發(fā)的最大查詢，默認(rèn)值是150，配置選項--dns-forward-max=<querys> ；

3、在升級安全版本之前暫時禁用DNSSEC驗證選項；

4、啟用一些DNS安全傳輸?shù)膮f(xié)議(如DoH, DoT)

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。