【活用ガイド】

JVNDB-2026-016979

dnsmasqにおける複数の脆弱性

概要

dnsmasqには以下の複数の脆弱性が存在します。
  • extract_name()においてヒープベースのバッファオーバーフローが発生する(CVE-2026-2291)
  • DNSSECの検証処理時に無限ループが発生する(CVE-2026-4890)
  • DNSSECの検証処理時にヒープメモリの境界外読み取りが発生する(CVE-2026-4891)
  • DHCPv6の処理時にヒープメモリの境界外書き込みが発生する(CVE-2026-4892)
  • RFC7871のクライアントサブネット情報を含む、細工されたDNSパケットを処理する際、パケットの送信元検証がバイパスされる(CVE-2026-4893)
  • extract_addresses()においてヒープメモリの境界外読み取りが発生する(CVE-2026-5172)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Simon Kelley
  • dnsmasq 2.92rel2 より前のバージョン

想定される影響

  • サービス運用妨害(DoS)が引き起こされる(CVE-2026-2291、CVE-2026-4890、CVE-2026-5172)
  • キャッシュポイズニング攻撃により不正なIPアドレスへリダイレクトされる(CVE-2026-2291、CVE-2026-4893)
  • メモリ内の情報やネットワーク情報が漏えいする(CVE-2026-4891、CVE-2026-4893)
  • ローカルの攻撃者によって権限昇格され、任意のコードを実行される(CVE-2026-4892)
対策

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。本アドバイザリに掲載されている一連の脆弱性は、バージョン2.92rel2で修正されています。
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2026-2291
  2. CVE-2026-4890
  3. CVE-2026-4891
  4. CVE-2026-4892
  5. CVE-2026-4893
  6. CVE-2026-5172
参考情報

  1. JVN : JVNVU#90845089
  2. US-CERT Vulnerability Note : VU#471747
更新履歴

  • [2026年05月27日]
      掲載

公表日2026/05/26
登録日2026/05/27
最終更新日2026/05/27