Debian Security Advisory DSA-6264-1

PengouinPdt · Mai 15, 2026, 7:17pm

Le 11/05/2026 est paru un avis de sécurité en rapport avec le logiciel dnsmasq, le DSA-6264-1

L’équipe Debian a normalement déjà patché bookworm et trixie.

Au-delà des 6 failles de sécurités trouvées par IA, ce qui est intéressant à relever est à la fois la lassitude, et la difficulté pour un développeur seul à maintenir le rythme imposé par de telles découvertes.

L’article suivant a une analyse pertinente de ce sujet :

Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA – Blog de Marc Frédéric GOMEZ

Voilà, juste pour info !

Zargos · Mai 15, 2026, 6:43pm

Il est important pour toutes et tous de lire l’article car il y a un grand changement de paradigme dans les gestion des vulnérabilité. Cela va avoir un gros impact sur le logiciel libre dans son ensemble.

En tant que CSSI moi-même, j’en déduit les points suivant, non exhaustif bien sur:

Les organisations quelles soient vont devoir être obligées de redéfinir leurs politiques de sécurité (les PSSI) et les organisation opérationnelles qui découlent ce ces PSSI.
Les obligations ou contraintes actuellement issue de norme comme NIST 1 et 2, et pour la France l’ISO27001 vont probablement devenir plus lourdes.
Les petits groupes de développeurs/mainteneurs d’application, librairies ou tout autre paquets installable vont voir leur travail s’alourdir rien que par l’effet de surcharge administratifs. Soit des outils se mettent en place, y compris dans les doctrines de publications pour éviter les doublons (duplicates), soit ces petites équipes vont finir par être submergées et certains paquets risquent de ne plus être correctement maintenu, voir maintenus tout cours.

Ces points ci-dessus ont en partie une réponse dans l’article.

Personnellement je n’utilise aucun serveur DNS/DHCP dnsmasq sur quelque équipement que ce soit. Je n’utilise jamais ces serveurs embarqué dans des équipement car je n’ai pas forcement confiance dans les délais de mises à jour (le silent patching, s’il est une spécialité de Microsoft se retrouve aussi chez d’autres grands éditeurs, et tout particulièrement du coté des fournisseurs de matériels).

D’autant que la gestion de l’obsolescence, si elle devenait critique ces dernières années, va le devenir de plus en plus.

Les capacités de patching des entreprises (je ne parle même pas des particulier) vont être mises à mal.
Hors alertes critiques, la règle est en moyenne d’une campagne de patching par mois. L’augmentation de la fréquence, sans compter celle des alertes, risque de mettre très fortement en tension les équipes opérationnelles techniques d’administrations (système réseau ou même sécurité).
Je connais une équipe réseau, dans une grosse organisation dont 50% de l’équipe passe entre 75 et 100% de son temps à faire du patching.
Car appliquer des correctifs ne se fait pas en un simple click.

Il faut d’une part vérifier la justesse des patches par une application sur des équipement hors production (dev/test/validation/recette/intégration, etcc…).
Et d’autre part, tout ne peut pas être mis à jour en temps réel; il faut programmer les opération afin de prendre en compte le RUN en cours, et la production que l’oint ne peut pas couper n’importe comment si un redémarrage de l’équipement ou de l’application est nécessaire.
Je connais bien aussi cette partie pour être aussi responsable opérationnel de production en parallèle avec ma fonction de CSSI.

Pas en stable avec la version 1.93 (je veins de vérifier;) )

Si vous prenez en compte le schéma que j’avais mis dans le post sur l’abandon de ma BOX FAI, je passe près de 2h par semaine sur le sujet.

PengouinPdt · Mai 15, 2026, 7:07pm

T’as pas un autre problème, toi ?!

Car si j’en crois la page en question : DSA-6264-1, non seulement c’est bien corrigé mais disponible dans les dépôts security avec le numéro de version adéquat.

Dans ma trixie :

# apt policy dnsmasq
dnsmasq:
  Installé : (aucun)
  Candidat : 2.91-1+deb13u1
 Table de version :
     2.91-1+deb13u1 500
        500 http://security.debian.org/debian-security trixie-security/main amd64 Packages
     2.91-1 500
        500 http://ftp.fr.debian.org/debian trixie/main amd64 Packages

Zargos · Mai 15, 2026, 8:56pm

2.93 pas 1.93 :), une faute de frappe

PengouinPdt · Mai 16, 2026, 12:45am

Oui, OK…
mais comment tu peux avoir une version 2.93 sur la stable ? alors que même sous Sid, on en est à la v2.92-5 !?
Sans parler que si la page DSA informe que la version 2.91-pouet-pouet est corrigée et disponible au-travers des dépôts, je ne comprends pas comment tu peux avoir une telle version ?!

Selon le dépôt du projet, la 2.93 n’est même pas sortie, elle est actuellement en RC1.
cf: thekelleys.org.uk Git - dnsmasq.git/summary
(ou alors je ne sais pas lire le dépôt)

Non seulement, tu dis que tu as la 2…93, mais en plus tu affirmes que sous Stable la version n’est pas corrigée !
Expliques-toi, stp.

Zargos · Mai 16, 2026, 12:50am

Coordonnée via le CERT/CC sous la note VU#471747 (2), la divulgation est accompagnée de la publication immédiate de dnsmasq 2.92rel2 et de la promesse d’une stable 2.93 dans la semaine suivante.

C’est la version stable de dnbsmasq pas de debian, je ne faisait que citer l’article.

PengouinPdt · Mai 16, 2026, 1:08am

Donc, tu ne parlais pas de la Stable de Debian
mais de la future proche stable 2.93 de dnsmasq.

Sois attentif à ce que tu écris, stp, car la confusion peut vite arriver, et influer sur la compréhension que tout lecteur aura. Merci d’avance.