Один пакет — и root. В программе, которая есть почти везде, нашли шесть критических уязвимостей
В популярных сетевых системах нашли набор уязвимостей, из-за которых привычный запрос к домену может привести пользователя не туда, куда нужно, а небольшой сетевой сервис — стать точкой входа для атаки. Речь идёт о dnsmasq, который часто работает незаметно, но отвечает за важные функции в роутерах, виртуальных машинах и специализированных дистрибутивах.
В dnsmasq выявили шесть уязвимостей. Пакет объединяет кэширующий DNS-резолвер, DHCP-сервер, сервис анонсов маршрутов IPv6 и механизм сетевой загрузки. Ошибки позволяют выполнить код с правами root, подменить IP-адрес для домена, раскрыть фрагменты памяти процесса или обрушить работу сервиса. Разработчики закрыли проблемы в версии dnsmasq 2.92rel2, отдельно доступны исправления для внедрения в текущие сборки.
Самая опасная проблема получила идентификатор CVE-2026-4892. Ошибка связана с обработкой DHCPv6 и даёт атакующему в локальной сети шанс выполнить код с правами root через специально подготовленный пакет. Причина кроется в записи DHCPv6 CLID в буфер без учёта шестнадцатеричного представления данных, где каждый реальный байт превращается в три байта вида «%xx».
CVE-2026-2291 затрагивает функцию extract_name() и может помочь злоумышленнику внедрить ложные записи в DNS-кэш. Такой сценарий открывает путь к перенаправлению домена на другой IP-адрес. Ошибка появилась из-за расчёта размера буфера без учёта экранирования отдельных символов во внутреннем формате доменного имени.
Ещё одна уязвимость, CVE-2026-4893, связана с обработкой DNS-пакетов с данными о подсети клиента по RFC 7871. Из-за некорректной проверки источник ответа мог считаться допустимым, что создавало условия для изменения маршрута DNS-ответа и перенаправления пользователей на ресурс атакующего.
Оставшиеся проблемы затрагивают обработку DNSSEC и DNS-ответов. CVE-2026-4891 приводит к чтению данных за пределами буфера и может раскрывать фрагменты памяти процесса в ответе на специально сформированный DNS-запрос. CVE-2026-4890 вызывает зацикливание при проверке DNSSEC и позволяет устроить отказ в обслуживании. CVE-2026-5172 связана с функцией extract_addresses() и способна аварийно завершить сервис при обработке вредоносных DNS-ответов.
Dnsmasq используют в Android, OpenWrt, DD-WRT, прошивках многих беспроводных маршрутизаторов, а также в обычных Linux-дистрибутивах. На рабочих станциях и серверах пакет может появляться вместе с libvirt для DNS-сервиса виртуальных машин или включаться через NetworkManager. Статус исправлений уже отслеживают сопровождающие Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, OpenWRT и FreeBSD.