Google har funnet flere alvorlige sårbarheter i DNS-programvaren Dnsmasq. Programvaren brukes i Linux-distribusjoner, rutere og ulike tingenes internett-enheter.
Siste versjon av Dnsmasq – 2,78 – som ble sluppet mandag, er ikke rammet.
DNS, DHCP og WOl
Totalt har Googles sikkerhetsfolk funnet syv alvorlige hull i programvaren som blant annet brukes til å kjøre tjenester som DNS, DHCP og fjernoppstart via nettverk.
– Vi fant syv alvorlige sikkerhetshull da vi jobbet med rutinemessig sjekk av programvaren, skriver sikkerhetsekspertene Matt Linton, Fermin J. Serna og Kevin Stadmeyer i et innlegg på Googles sikkerhetsblogg mandag.
Den usikre programvaren benyttes i dag av over èn million ulike enheter.
Kjøre kode
Noen av sårbarhetene lar angripere kjøre kode utenfra, og Dnsmasq skal ifølge Googles forskere lekke informasjon som en sil.
Google har jobbet med programvareutvikler Simon Kelley i Dnsmasq for å tette sikkerhetshullene.
– Da vi så hvor alvorlige disse hullene var, begynte vi å eksperimentere med feilrettingsprosedyrer. Sammen med Simon Kelley har vi nå lagd sikkerhetsfikser som skal tette sårbarhetene, skriver Google-forskerne videre.
Sikkerhetsoppdateringene til tidligere versjoner av programvaren er å finne på Dnsmasq GitHub-prosjektside.
Både Kelly og Googles sikkerhetsfolk anbefaler imidlertid å oppdatere eldre versjoner med Dnsmasq 2,78.
