成功利用漏洞的攻擊者，可進(jìn)行內(nèi)存破壞、拒絕服務(wù)等攻擊，甚至可以遠(yuǎn)程執(zhí)行惡意代碼，最終控制目標(biāo)服務(wù)器。 近日，國家信息安全漏洞庫（CNNVD）收到2個(gè)Dnsmasq緩沖區(qū)錯(cuò)誤漏洞（CNNVD-202101-1570、 CVE-2020-25681）（CNNVD-202101-1569、CVE-2020-25682）情況的報(bào)送。成功利用漏洞的攻擊者，可進(jìn)行內(nèi)存破壞、拒絕服務(wù)等攻擊，甚至可以遠(yuǎn)程執(zhí)行惡意代碼，最終控制目標(biāo)服務(wù)器。Dnsmsaq 2.83以下版本均受漏洞影響。目前，Dnsmasq官方已經(jīng)發(fā)布了升級補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)版本信息，盡快采取修補(bǔ)措施。

一、漏洞介紹

Dnsmasq是一款使用C語言編寫的輕量級DNS轉(zhuǎn)發(fā)和DHCP、TFTP服務(wù)器。

漏洞源于Dnsmasq處理代碼的邊界檢查錯(cuò)誤，當(dāng)Dnsmasq開啟了“DNSSEC”特性后，攻擊者可利用此漏洞將任意數(shù)據(jù)寫入目標(biāo)設(shè)備的內(nèi)存中，導(dǎo)致目標(biāo)設(shè)備上的內(nèi)存損壞，影響DNS服務(wù)正常的運(yùn)行，造成拒絕服務(wù)或遠(yuǎn)程代碼執(zhí)行。

二、危害影響

成功利用漏洞的攻擊者，可進(jìn)行內(nèi)存破壞、拒絕服務(wù)等攻擊，甚至可以遠(yuǎn)程執(zhí)行惡意代碼，最終控制目標(biāo)服務(wù)器。Dnsmsaq 2.83以下版本均受漏洞影響。

Dnsmasq在全球范圍內(nèi)有多家企業(yè)使用，其中至少包括了Arista Networks Inc、Cradlepoint、Digi International、安卓、康卡斯特、思科、紅帽、Netgear、高通、Linksys、IBM、西門子、Pi-Hole、友訊、戴爾、華為、優(yōu)倍快等 。通過網(wǎng)絡(luò)測繪系統(tǒng)發(fā)現(xiàn)，全球超過130萬個(gè)Dnsmasq服務(wù)器使用記錄，其中中國排名第一，共98萬條記錄，美國第二，共28萬條記錄。

三、修復(fù)建議

目前，Dnsmasq官方已經(jīng)發(fā)布了升級補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)版本信息，盡快采取修補(bǔ)措施。

更多Linux資訊請查看www.linuxprobe.com

總結(jié)

以上是生活随笔為你收集整理的国家漏洞库CNNVD：关于Dnsmasq多个缓冲区错误漏洞的通报的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。