Sieben Sicherheitslücken sind in der freien DNS-Server-Software Dnsmasq offen. Sicherheitsforscher von Google warnen davor, dass Angreifer auf betroffenen Geräten Schadcode ausführen könnten. Die abgesicherte Version 2.7.8 steht zum Download bereit. Zusätzlich bietet Google einen Patch an, um Dnsmasq mit Sandboxing auszustatten.

Jetzt müssen Softwareentwickler und Hersteller die aktuelle Ausgabe der DNS-Server-Software installieren beziehungsweise Sicherheitsupdates an die Nutzer bringen. Dnsmasq kommt unter anderem in diversen IoT-Geräten, verschiedenen Linux-Distributionen wie Ubuntu, Android-Smartphones und Servern zum Einsatz. Für Android-Geräte der Nexus- und Pixel-Serie hat Google bereits die fehlerbereinigte Version in seinen Sicherheitsupdates integriert.

Ein Proof-of-Concept-Code wurde von Googles Sicherheitsforschern veröffentlicht, damit Entwickler und Hersteller prüfen können, ob ihre Produkte für die Schwachstellen anfällig sind.

Wenn Angreifer die drei Lücken (CVE-2017-14491, CVE-2017-14492 und CVE-2017-14493) ausnutzen, dann können sie Speicherfehler provozieren und anschließend eigenen Code ausführen. Vor allem bei der Schwachstelle mit der Kennung CVE-2017-14493 ist es mit wenig Aufwand möglich, warnt Google. Weitere Details zu den Lücken werden in der Sicherheitswarnung genannt.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE