偵測

Amazon Linux 2023:dnsmasq、dnsmasq-utils (ALAS2023-2026-1729)

high Nessus Plugin ID 316834

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,它會受到 ALAS2023-2026-1729 公告中所提及的多個弱點影響。

 dnsmasq 的 DNSSEC 驗證中存在拒絕服務 (DoS) 弱點,遠端攻擊者可透過特製的 DNS 封包造成拒絕服務。(CVE-2026-4890)

 dnsmasq 的 DNSSEC 驗證中存在一個堆積型越界讀取弱點,遠端攻擊者可透過特製的 DNS 封包造成拒絕服務。(CVE-2026-4891)

 dnsmasq 的 DHCPv6 實作中存在一個堆積型越界寫入弱點,允許本機攻擊者透過特製的 DHCPv6 封包,以 root 權限執行任意程式碼。(CVE-2026-4892)

 dnsmasq 中的一個資訊洩漏弱點允許遠端攻擊者透過具有 RFC 7871 用戶端子網路資訊的特製 DNS 封包繞過來源檢查。(CVE-2026-4893)

 dnsmasq 的 extract_addresses() 函式中的緩衝區溢位允許攻擊者利用格式錯誤的 DNS 回應觸發堆積越界讀取並損毀,從而使 extract_name() 能夠將指標推進到記錄結尾。(CVE-2026-5172)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

Run 'dnf update dnsmasq --releasever 2023.11.20260526' or or 'dnf update --advisory ALAS2023-2026-1729 --releasever 2023.11.20260526' to update your system.

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1729.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-4890.html

https://explore.alas.aws.amazon.com/CVE-2026-4891.html

https://explore.alas.aws.amazon.com/CVE-2026-4892.html

https://explore.alas.aws.amazon.com/CVE-2026-4893.html

https://explore.alas.aws.amazon.com/CVE-2026-5172.html

Plugin 詳細資訊

嚴重性: High

ID: 316834

檔案名稱: al2023_ALAS2023-2026-1729.nasl

版本: 1.2

類型: Local

代理程式: unix

已發布: 2026/5/26

已更新: 2026/5/27

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 8.3

時間性分數: 6.1

媒介: CVSS2#AV:A/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-4892

CVSS v3

風險因素: High

基本分數: 8.4

時間性分數: 7.3

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:dnsmasq-debugsource, p-cpe:/a:amazon:linux:dnsmasq-debuginfo, p-cpe:/a:amazon:linux:dnsmasq, p-cpe:/a:amazon:linux:dnsmasq-utils, p-cpe:/a:amazon:linux:dnsmasq-utils-debuginfo, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/5/25

弱點發布日期: 2026/5/11

參考資訊

CVE: CVE-2026-4890, CVE-2026-4891, CVE-2026-4892, CVE-2026-4893, CVE-2026-5172

IAVA: 2026-A-0450