Sicherheitslücken im freien DNS-Server Dnsmasq gefährden IoT-Geräte, Linux, Smartphones & Co.

In der freien DNS-Server-Software Dnsmasq klaffen sieben Sicherheitslücken. Einige davon muten kritisch an und Angreifer könnten aus der Ferne auf betroffenen Geräten Schadcode ausführen. Davor warnen Sicherheitsforscher von Google. Die abgesicherte Version 2.78 steht zum Download bereit. Darüber hinaus bietet Google einen Patch an, um Dnsmasq mit Sandboxing auszustatten.

Nun liegt es an Softwareentwicklern und Herstellern, die aktuelle Ausgabe der DNS-Server-Software zu installieren, beziehungsweiseweise in Form von Sicherheitsupdates für Nutzer in Umlauf zu bringen. Dnsmasq kommt unter anderem in diversen IoT-Geräten, verschiedenen Linux-Distributionen wie Ubuntu, Android-Smartphones und Servern zum Einsatz. Google hat die fehlerbereinigte Version bereits in seine Sicherheitsupdates für verschiedene Android-Geräte der Nexus- und Pixel-Serie integriert.

PoC verfügbar

Googles Sicherheitsforscher haben einen Proof-of-Concept-Code veröffentlicht, damit Entwickler und Hersteller prüfen können, ob ihre Produkte für die Schwachstellen anfällig sind. Zügiges Handeln ist angesagt, schließlich könnten Angreifer diesen Code unter Umständen für Attacken missbrauchen.

Setzen Angreifer an drei Lücken (CVE-2017-14491, CVE-2017-14492 und CVE-2017-14493) an, sollen sie Speicherfehler provozieren und anschließend eigenen Code ausführen können. Das sei vor allem bei der Schwachstelle mit der Kennung CVE-2017-14493 mit vergleichsweise wenig Aufwand möglich, warnt Google. Weitere Details zu den Lücken nennen die Sicherheitsforscher in der Sicherheitswarnung.

Dnsmasq gibt es seit 2001, die DNS-Server-Software ist Open Source und bringt unter anderem einen DNS Forwarder und einen DHCP-Server mit.

[UPDATE 04.10.2017 14:10 Uhr]

Beschreibung des Angriffsszenario im Fließtext angepasst. (des)