Dnsmasq软件存在6个严重安全漏洞(CVE)，影响几乎所有旧版本。漏洞信息已提前告知厂商，预计将发布修复版本。

[Dnsmasq-discuss] 重要安全公告

发件人：Simon Kelley
时间：2026年5月11日 UTC 17:18

核心内容

1. 漏洞披露

   • CERT于2026年5月11日发布了6个影响dnsmasq的严重安全漏洞（CVE编号），这些长期存在的漏洞影响几乎所有非旧版本。
   • 漏洞详情和补丁已提前向供应商披露，相关修复方案可通过官网获取：
     https://thekelleys.org.uk/dnsmasq/CVE/

2. 版本更新

   • 已发布修复后的稳定版 dnsmasq 2.92rel2，开发版代码库也同步更新了补丁。部分修复采用相同补丁，部分则进行了彻底重构。

3. AI安全研究的挑战

   • 近期AI驱动的安全研究激增，导致大量重复漏洞报告。开发者花费数月时间进行去重和分类，优先处理需供应商预披露的漏洞。
   • 因漏洞可能已被恶意利用，长期保密意义有限，故采取快速公开修复策略。

4. 未来计划

   • 即将发布 dnsmasq 2.93rc1 测试版，呼吁社区协助测试，目标一周内推出稳定版2.93。
   • 由于AI生成的漏洞报告持续涌现，未来可能需重复此修复流程，但会优先保证版本及时发布。

（省略了邮件列表的导航信息及重复内容）

更多关于Dnsmasq-discuss邮件列表的信息

编辑说明：
- 保留核心事件（漏洞披露、版本更新、AI影响）及关键时间节点；
- 删除邮件列表的线程导航等非主题内容；
- 用分项列表提升可读性，重要链接保留原功能。

以下是评论内容的总结：

1. 对漏洞重现的无奈

• 引用宠物花的经典台词表达对漏洞反复出现的无奈 "oh no, not again!" "又来了，真是够了"

2. 对老旧软件更新的担忧

• 指出dnsmasq被广泛使用但很少更新 "this software isn't used in millions of devices which almost never receive updates" "数百万设备使用却几乎从不更新的软件"
• 批评Debian对稳定版的僵化管理 "they would rather ship useless, broken code than something too new" "宁愿发布无用的问题代码也不愿更新"

3. 对漏洞影响的讨论

• 质疑家庭路由器被入侵的实际风险 "They can MITM non-encrypted requests, but there are not a lot of those" "能中间人攻击未加密请求，但这类请求不多"
• 指出嵌入式设备更新困难 "some of these would have made to embedded hardwares, making updates more challenging" "这些漏洞会存在于嵌入式硬件中，使更新更困难"

4. 对AI安全审计的看法

• 质疑AI发现漏洞却不能创建完美软件 "why can't machine-learning write a product from scratch that is flawless" "为什么机器学习不能从头编写完美产品"
• 展示AI审计的成功案例 "Not one single serious security bug has been found since 2023" "自2023年以来未发现任何严重安全漏洞"

5. 对AI生成漏洞报告的趋势观察

• 指出AI生成漏洞报告已成新常态 "Welcome to the new world order" "欢迎来到新秩序时代"