Die Liste der Hersteller, die dnsmasq verwenden, ist lang. Nach Recherchen von JSOF [1] gehören unter anderem Cisco, Android, Siemens und Comcast dazu. Je nachdem, wie diese dnsmasq einsetzen, können Geräte mehr oder weniger oder auch gar nicht betroffen sein. Die DNSpooq-Schwachstellen lassen sich in zwei Kategorien unterteilen: "DNS cache poisoning attacks" und "Buffer overflow vulnerabilities". Im erstgenannten Fall versuchen Angreifer, veränderte Einträge in den DNS-Cache von Nameservern einzuschleusen, um Opfer auf gefälschte Webseiten umzuleiten.

Über die Pufferüberlaufschwachstellen ist dem Bericht zufolge die Remote-Code-Ausführung auf einem entfernten Gerät möglich, wenn dnsmasq für die Verwendung von DNSSEC konfiguriert ist. Weiterhin können Heap-basierte Pufferüberläufe einen Denial-of-Service auslösen, wenn DNSSEC verwendet wird. Diese Schwachstellen stellen laut den Sicherheitsforschern für sich genommen nur ein begrenztes Risiko dar. In Kombination mit Cache Poisoning können sie jedoch zu stärkeren Angriffen führen.

Nach Angaben von JSOF bestehen zwar mehrere Workarounds, die unter [2] dokumentiert sind, die einzige vollständige Abhilfe sei jedoch, dnsmasq auf Version 2.83 [3] oder höher zu aktualisieren. Zu beachten ist, dass dnsmasq auch auf vielen Embedded- und IoT-Geräten zum Einsatz kommt, für die es keine regelmäßigen Sicherheitsupdates gibt. Auf der JSOF-Webseite [1] stehen allerdings einige Security-Advisories der betroffenen Hersteller zur Verfügung.

jm

[1] www.jsof-tech.com/disclosures/dnspooq/
[2] www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq-Technical-WP.pdf
[3] https://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/2021q1/014599.html