Dnsmasq 6 个严重 CVE 漏洞：安全修复指南（2026）

发布于: 2026-05-13 • 分类: 安全 / DNS / DevOps

事件概述

2026年5月11日，CERT 正式公开披露了 dnsmasq 中的 6 个严重 CVE 漏洞。dnsmasq 是 Linux 系统中最广泛使用的轻量级 DNS 转发器和 DHCP 服务器，存在于无数 Linux 发行版、嵌入式设备、IoT 系统、Kubernetes 集群和容器环境中。这些漏洞影响几乎所有非远古版本的 dnsmasq，使其成为 2026 年最重要的开源安全公告之一。

项目维护者 Simon Kelley 发布了 dnsmasq 2.92rel2，修复了全部六个 CVE，并宣布稳定版 2.93 正在准备中。

为什么如此重要

Dnsmasq 是世界上部署最广泛的网络基础设施软件之一：

• 几乎所有 Linux 桌面和服务器的 DNS 解析
• 消费级路由器的 DNS/DHCP 服务（OpenWrt、DD-WRT、Tomato）
• Kubernetes 集群的内部 DNS（kube-dns、CoreDNS 可配置使用 dnsmasq 上游）
• 无数 IoT 设备的网络服务
• Android 设备上的 DNS 缓存（通过 netd）

六个 CVE 详解

CVE-2026-2291: struct bigname 缓冲区溢出

类型：堆缓冲区溢出
发现者：Andrew S. Fasano、Royce M（XCHG Labs）、Hugo Martinez Ray、Xander Mackenzie（TrendAI Zero Day Initiative）

dnsmasq DNS 响应处理中的 struct bigname 存在缓冲区溢出漏洞。攻击者发送特制的 DNS 查询可以触发越界写入，可能导致远程代码执行或拒绝服务。

CVE-2026-4890: NSEC 位图解析无限循环

类型：无限循环 / 拒绝服务
发现者：Royce M（XCHG Labs）

这个 CVE 覆盖两个相关的解析问题，其中一个在 2.92 中已被部分修复。格式错误的 NSEC 记录会导致 dnsmasq 在解析类型位图时陷入无限循环，造成拒绝服务。

CVE-2026-4891: RRSIG rdlen 验证缺陷

类型：崩溃 / 潜在代码执行
发现者：Royce M（XCHG Labs）、Mike Cole（RedPath Security）

RRSIG 资源记录的 rdlen 字段缺少验证。攻击者可提供恶意构造的长度值，导致签名验证过程中发生越界读写。

CVE-2026-4892: helper.c 中超大 CLID 造成缓冲区溢出

类型：栈缓冲区溢出
发现者：Royce M（XCHG Labs）、Asim Viladi Oglu Manizada

超大 DHCP 客户端标识符导致的缓冲区溢出。当 dnsmasq 作为 DHCP 服务器收到超大 CLID 时，不充分的边界检查可导致栈缓冲区溢出，可能实现远程代码执行。

CVE-2026-4893: 客户端子网验证缺陷

类型：输入验证 / 逻辑错误
发现者：Royce M（XCHG Labs）

EDNS 客户端子网选项处理的验证逻辑存在缺陷。畸形子网数据可绕过安全检查，可能导致信息泄露或缓存投毒。

CVE-2026-5172: extract_addresses() 缓冲区溢出

类型：堆缓冲区溢出
发现者：Hugo Martinez Ray

处理 DHCP 租约文件和类似数据源的 extract_addresses() 函数存在缓冲区溢出。畸形输入可触发堆溢出，可能导致远程代码执行。

AI 漏洞发现革命

在安全公告邮件中，Simon Kelley 做出了一个惊人的表态："基于 AI 的安全研究领域确实发生了一场革命。" 他提到过去几个月一直在处理漏洞报告、去重（"太多了！"）和分类漏洞。

其中多个 CVE 是由 AI 驱动的安全工具发现的。Royce M（XCHG Labs）出现在 6 个 CVE 的 4 个致谢名单中——这是一个明确信号：系统化的 AI 漏洞狩猎正在大规模产出成果。

Kelley 还直接讨论了漏洞封存期的挑战："鉴于 '好人' 发现这些漏洞的次数之多，毫无疑问 '坏人' 也有能力做到同样的事。长时间的封存期似乎没什么意义。" 这反映了漏洞披露领域的根本性转变：AI 使得发现漏洞的成本极低，攻防双方都可能独立发现相同的漏洞，漫长的协调披露周期变得不再合理。

修复与缓解措施

立即行动：升级到 dnsmasq 2.92rel2

Simon Kelley 于 2026 年 5 月 11 日发布了 dnsmasq 2.92rel2，修复了所有 6 个 CVE。各漏洞的独立补丁也已在 https://thekelleys.org.uk/dnsmasq/CVE/ 提供。

即将发布：dnsmasq 2.93 稳定版

2.93rc1 已经标记，稳定版预计一周内发布。2.93 中的部分修复不仅是向后移植，而是更全面的根因重写。

检查你的发行版

• Debian/Ubuntu：apt update && apt list --upgradable
• RHEL/CentOS/Fedora：yum check-update 或 dnf check-update
• Alpine Linux：apk list --upgradable
• OpenWrt：opkg list-upgradable
• 容器镜像：使用更新后的 dnsmasq 重新构建
• Kubernetes：使用上游或 sidecar 的 dnsmasq 需更新镜像

"AI 漏洞海啸"与维护者的真实处境

Kelley 的邮件罕见地展现了维护者在 AI 漏洞研究时代的真实处境：

"AI 生成的漏洞报告海啸没有停止的迹象，这个过程可能很快需要重复。在 2.93 中尽可能多地修复流式漏洞和及时发布之间存在矛盾。我倾向于优先保证及时性，之后再继续修复。"

这是开源维护者面临的新现实。AI 工具大幅降低了发现漏洞的成本，但也产生了大量报告——其中很多是重复或误报——需要维护者逐一处理。

总结

dnsmasq 6 个 CVE 的披露在多个层面具有标志性意义：它展示了 AI 驱动的漏洞研究的威力（6 个漏洞的 8 位发现者），引发了维护者关于封存期哲学的罕见坦诚讨论，也提供了一个案例展示开源生态如何适应安全研究的新节奏。

如果你的任何基础设施中运行着 dnsmasq，请立即升级。补丁已经可用，漏洞利用很可能正在被开发，发现这些漏洞的 AI 工具对攻防双方都可获取。