dnsmasq 曝出6个严重安全漏洞，影响几乎所有DNS服务器

2026年5月11日，CERT发布了一组六个严重安全漏洞，影响广泛使用的DNS转发软件dnsmasq。这些漏洞几乎影响所有非古老版本的dnsmasq，对使用该软件的路由器、服务器和嵌入式设备构成重大安全威胁。

漏洞概述

dnsmasq是一个轻量级的DNS、DHCP、TFTP和路由器通告服务器，广泛部署在各种Linux发行版、路由器固件（如OpenWrt）、容器平台和嵌入式设备中。此次披露的6个CVE漏洞均属于长期存在的安全缺陷，涉及DNSSEC验证、DNS响应处理等核心功能。

dnsmasq维护者Simon Kelley在邮件列表中表示，这些漏洞主要由AI驱动的安全研究工具发现，过去几个月他处理了大量bug报告，其中包括许多重复报告。他指出，鉴于”好人”已经发现了这些漏洞，”坏人”也很可能已经掌握。

受影响范围

以下是此次漏洞影响的主要场景：

• 家用路由器：大量路由器使用dnsmasq作为DNS转发器，尤其是运行OpenWrt的设备
• 容器平台：Kubernetes集群中的CoreDNS底层也使用了dnsmasq
• Linux服务器：许多发行版默认安装dnsmasq用于本地DNS解析
• 嵌入式设备：IoT设备、NAS等广泛使用dnsmasq
• Docker容器：部分Docker镜像内含dnsmasq

修复方案

dnsmasq已发布2.92rel2版本，包含了所有安全补丁。各Linux发行版和设备厂商也在加紧推送更新。

检查你的dnsmasq版本

在终端执行以下命令检查当前版本：

dnsmasq --version

如果版本低于2.92rel2，应尽快升级。

升级方法

Debian/Ubuntu系统：

sudo apt update && sudo apt upgrade dnsmasq

CentOS/RHEL系统：

sudo yum update dnsmasq

OpenWrt路由器：等待固件更新推送，或手动编译最新版本。

临时缓解措施

如果暂时无法升级，可以考虑以下缓解措施：

• 禁用DNSSEC验证（不推荐，但可临时规避部分漏洞）
• 使用其他DNS软件（如unbound、BIND）替代dnsmasq
• 在防火墙层面限制DNS查询来源
• 使用Cloudflare、Google等公共DNS服务

站长需要注意什么

如果你的服务器或VPS运行了dnsmasq，建议立即检查并升级。尤其是以下情况：

1. 服务器用dnsmasq做本地DNS解析
2. Docker容器内使用了dnsmasq
3. 路由器固件使用dnsmasq（特别是OpenWrt）
4. 任何面向公网的DNS服务

安全漏洞的修复窗口期很关键，建议在厂商推送补丁后的第一时间进行升级。

相关信息

• dnsmasq官方安全公告：https://thekelleys.org.uk/dnsmasq/CVE/
• dnsmasq 2.92rel2下载：https://thekelleys.org.uk/dnsmasq/
• CERT漏洞公告：https://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/2026q2/018471.html

来源：dnsmasq官方邮件列表、CERT安全公告、Hacker News讨论