一、概要

近日，华为云关注到国外安全团队JSOF发布风险通知，披露开源DNS转发软件Dnsmasq存在多处高危漏洞。该批漏洞被命名为“DNSpooq”，分为如下两部分：

1、处理DNSSEC数据的内存问题，会导致DNS缓存投毒触发拒绝服务和潜在的远程代码执行。

CVE-2020-25681 高危

CVE-2020-25682 高危

CVE-2020-25683

CVE-2020-25687

2、校验DNS响应的问题，会导致DNS缓存投毒触发拒绝服务。

CVE-2020-25684

CVE-2020-25685

CVE-2020-25686

华为云提醒使用Dnsmasq的用户及时安排自检并做好安全加固。

参考链接：

https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq-Technical-WP.pdf

https://www.jsof-tech.com/disclosures/dnspooq/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Dnsmasq < 2.83

安全版本：

Dnsmasq  2.83

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户升级至安全版本。

部分临时规避措施：

1、如果环境中不需要，请配置dnsmasq不监听WAN接口；

2、减少允许转发的最大查询，默认值是150，配置选项--dns-forward-max=<querys> ；

3、在升级安全版本之前暂时禁用DNSSEC验证选项；

4、启用一些DNS安全传输的协议(如DoH, DoT)

注：修复漏洞前请将资料备份，并进行充分测试。