dnsmasq 曝出6个严重漏洞：使用宝塔面板和路由器的站长请立即检查

广泛使用的 DNS 转发和 DHCP 服务器软件 dnsmasq 近日被曝出 6 个严重安全漏洞。这些漏洞涉及缓冲区溢出、内存泄漏等问题，攻击者可能利用这些漏洞实现远程代码执行或拒绝服务攻击。由于 dnsmasq 被大量路由器、Linux 发行版和服务器面板使用，影响范围非常广泛。

什么是 dnsmasq

dnsmasq 是一个轻量级的 DNS 转发和 DHCP 服务器，广泛应用于：

• 路由器固件：OpenWrt、DD-WRT、Tomato 等
• Linux 发行版：Ubuntu、Debian、RHEL 等默认使用 dnsmasq
• 服务器面板：宝塔面板、1Panel 等
• 容器环境：Docker、Kubernetes 的 DNS 解析
• 虚拟化平台：libvirt 使用 dnsmasq 管理虚拟机网络

由于其部署范围极广，这些漏洞的潜在影响非常大。在 Hacker News 上，这一消息获得了 368 分的关注度，说明社区对此高度重视。

漏洞详情

本次披露的 6 个漏洞主要涉及以下类型：

• 缓冲区溢出：处理特定 DNS 请求时可能触发堆缓冲区溢出，攻击者可借此执行任意代码
• 内存泄漏：处理畸形 DNS 响应时可能泄露内存信息，帮助攻击者绕过 ASLR 等防护
• 拒绝服务：特制的 DNS 数据包可能导致 dnsmasq 崩溃，造成 DNS 解析服务中断

影响范围

以下环境需要重点检查：

• 运行 Ubuntu/Debian/CentOS 等 Linux 发行版的服务器
• 使用宝塔面板的服务器（宝塔默认配置了 dnsmasq）
• 使用 1Panel 面板的服务器
• 运行 OpenWrt 的路由器
• Docker 环境中使用 dnsmasq 做 DNS 解析的场景
• libvirt 管理的虚拟机环境

如何检查和修复

检查当前版本

# 检查 dnsmasq 版本
dnsmasq --version

# 检查 dnsmasq 是否在运行
systemctl status dnsmasq

# 查看已安装版本（Debian/Ubuntu）
dpkg -l | grep dnsmasq

# 查看已安装版本（CentOS/RHEL）
rpm -qa | grep dnsmasq

升级方法

# Ubuntu/Debian
sudo apt update && sudo apt upgrade dnsmasq

# CentOS/RHEL
sudo yum update dnsmasq

# OpenWrt
opkg update && opkg upgrade dnsmasq

临时缓解措施

如果暂时无法升级，可以采取以下措施降低风险：

• 限制 dnsmasq 只监听本地接口：listen-address=127.0.0.1
• 使用防火墙限制对 DNS 端口（53）的外部访问
• 禁用不需要的 dnsmasq 功能（如 DHCP）
• 考虑使用 systemd-resolved 或其他 DNS 解析器替代

站长注意事项

• 宝塔面板用户：检查宝塔是否管理 dnsmasq，如果是，等待宝塔官方更新或手动升级
• 云服务器用户：云服务商的安全组规则可以作为额外的防护层，限制外部对 DNS 端口的访问
• 路由器用户：检查路由器固件是否有更新，特别是使用 OpenWrt 的用户
• 容器环境：检查 Docker 和 Kubernetes 的 DNS 配置，确认是否受影响

简评

dnsmasq 作为基础设施级别的软件，其安全漏洞的影响面非常广。对于站长来说，这类漏洞提醒我们：不要忽视底层系统组件的安全更新。建议将 dnsmasq 等关键组件的版本检查纳入日常运维清单，及时跟进安全更新。

来源：The Register – dnsmasq vulnerabilities | dnsmasq 官方文档