CERT가 dnsmasq의 심각한 보안 취약점 6건에 대한 CVE를 공개한다

• CERT가 2026년 5월 11일 dnsmasq의 심각한 보안 취약점 6건에 대한 CVE 세트를 공개함
• 취약점은 모두 오래된 버그이며, 아주 오래된 버전을 제외한 거의 모든 dnsmasq 버전에 영향이 있음
• CVE는 벤더에 사전 공개됐고, 각 벤더가 dnsmasq 패키지의 패치 버전을 제때 배포해야 함
• 안정 릴리스 dnsmasq 2.92에 패치를 적용한 2.92rel2가 만들어졌고, 기존 다운로드 위치에서 받을 수 있음
• 곧 dnsmasq-2.93rc1 태그가 만들어질 예정이며, 테스트를 거쳐 약 일주일 안에 2.93 릴리스를 목표로 함

dnsmasq 취약점 공개와 패치

• CERT가 2026년 5월 11일 dnsmasq의 심각한 보안 취약점 6건에 대한 CVE 세트를 공개함
• 취약점들은 모두 오래된 버그이며, 아주 오래된 버전을 제외한 거의 모든 dnsmasq 버전에 적용됨
• CVE는 벤더에 사전 공개됐고, 각 벤더가 dnsmasq 패키지의 패치 버전을 제때 배포해야 함
• 세부 정보와 패치는 https://thekelleys.org.uk/dnsmasq/CVE/에서 확인 가능함
• 안정 릴리스 dnsmasq 2.92에 패치를 적용한 2.92rel2가 만들어졌고, 기존 다운로드 위치에서 받을 수 있음
• 개발 트리에도 같은 시점에 수정 커밋이 올라갈 예정이며, 일부는 백포트와 같은 패치를 쓰고 일부는 근본 원인을 다루는 더 포괄적인 재작성임

AI 기반 리포트 증가와 2.93 계획

• 최근 몇 달 동안 AI 기반 보안 연구로 버그 리포트가 크게 늘었고, 중복 제거와 버그 분류에 많은 시간이 들어감
• 버그는 벤더 사전 공개가 필요한 항목과 공개 후 즉시 수정하는 편이 나은 항목으로 나뉘었으며, 이 구분은 불가피하게 주관적임
• 같은 버그를 여러 “good guys”가 반복해서 찾은 만큼 “bad guys”도 찾을 수 있었을 가능성이 있어, 긴 엠바고의 실효성이 크지 않다고 봄
• 엠바고 조율과 백포트 제공에는 모든 참여자에게 많은 시간과 노력이 필요함
• 대부분의 버그는 앞으로의 릴리스에서 고쳐 새 dnsmasq 릴리스를 가능한 한 버그 없는 상태로 만드는 것이 우선임
• 발표 전 몇 주 동안 git 저장소에 많은 보안 수정 커밋이 올라간 것도 이 방향과 맞닿아 있음
• 곧 dnsmasq-2.93rc1 태그를 만들 예정이며, 안정 버전 2.93을 최대한 빨리 내는 것이 목표임
• 릴리스 후보 테스트가 중요하므로 가능한 사용자는 빨리 테스트해야 함
• 순조롭게 진행되면 2.93은 약 일주일 안에 나올 수 있음
• AI 생성 버그 리포트의 “tsunami”는 멈출 조짐이 없어, 같은 과정이 곧 다시 반복될 가능성이 있음
• 2.93에 진행 중인 버그 흐름을 최대한 많이 반영하는 것과 제때 릴리스하는 것 사이에 긴장이 있으며, 우선순위는 시의성 있는 릴리스에 있음