FERRAMENTAS LINUX: Guia Definitivo para Proteger seu Servidor Ubuntu contra Falhas no Dnsmasq

Proteja seu servidor contra falhas críticas no Dnsmasq com este guia perene. Aprenda a verificar, corrigir e mitigar vulnerabilidades em ambientes Ubuntu com comandos reais e automação.

A Importância de um DNS Confiável

Imagine um cenário onde um simples pacote de rede malicioso é capaz de derrubar todo o serviço de DNS da sua empresa ou, pior, permitir que um invasor execute códigos no seu servidor.

No final de maio de 2026, uma vulnerabilidade crítica (CVE-2026-6507) expôs exatamente esse risco, afetando uma das ferramentas mais utilizadas para redes locais e servidores DNS: o Dnsmasq.

No entanto, o objetivo deste guia vai muito além de uma simples notícia. A vulnerabilidade foi corrigida, mas a vulnerabilidade humana de negligenciar a segurança dos serviços de rede permanece.

Seja qual for a falha do futuro, a base para proteger seu servidor é a mesma. Aqui você encontrará um guia prático e reutilizável para identificar, corrigir e se proteger contra ameaças no Dnsmasq, tornando sua infraestrutura mais resiliente.

Como Verificar se Você Está Vulnerável (Comandos Reais)

A falha CVE-2026-6507 reside no tratamento incorreto de pacotes BOOTREPLY quando a opção --dhcp-split-relay está ativa. Para saber se seu sistema está seguro, siga os passos abaixo diretamente no terminal do Ubuntu.

Passo 1: Verifique a versão instalada do Dnsmasq

Execute o comando abaixo para ver a versão que está rodando no seu sistema:

dnsmasq --version

Ou, de forma alternativa:

dnsmasq -v

Passo 2: Compare com a versão corrigida

De acordo com o aviso de segurança da Ubuntu (USN-8308-1), a versão que contém a correção para a falha é a 2.92-1ubuntu0.3 para o Ubuntu 26.04 LTS.

Se sua versão for anterior a essa, seu sistema está vulnerável.

Se sua versão for igual ou superior, a correção já foi aplicada.

Passo 3: Verifique se a opção perigosa está ativa

A vulnerabilidade só é explorável se o --dhcp-split-relay estiver configurado. Verifique seus arquivos de configuração:

grep -r "dhcp-split-relay" /etc/dnsmasq.conf /etc/dnsmasq.d/

Se o comando retornar alguma linha (especialmente sem o caractere # no início, que indica comentário), o serviço está em uma configuração de risco.

Script de Automação para Aplicar a Correção

Para evitar a fadiga de executar comandos manualmente em dezenas de servidores, automatize o processo. Este script bash verifica a versão, atualiza o sistema e reinicia o serviço automaticamente.

#!/bin/bash
# Script de correção automática para vulnerabilidades no Dnsmasq (Ubuntu)

echo "=== Iniciando verificação de segurança do Dnsmasq ==="

# Verifica se o Dnsmasq está instalado
if ! command -v dnsmasq &> /dev/null; then
    echo "Dnsmasq não está instalado. Nada a fazer."
    exit 0
fi

# Obtém a versão instalada
CURRENT_VERSION=$(dnsmasq --version 2>/dev/null | head -1 | awk '{print $3}')
echo "Versão atual do Dnsmasq: $CURRENT_VERSION"

# Define a versão alvo que é considerada segura (2.92-1ubuntu0.3)
TARGET_VERSION="2.92-1ubuntu0.3"

# Compara as versões (ordenação lexicográfica simples)
if [[ "$CURRENT_VERSION" < "$TARGET_VERSION" ]]; then
    echo "ALERTA: Versão do Dnsmasq desatualizada. Iniciando correção..."
    
    # Atualiza a lista de pacotes e aplica a atualização
    sudo apt update
    sudo apt upgrade -y dnsmasq
    
    # Reinicia o serviço para garantir que a nova versão seja carregada
    sudo systemctl restart dnsmasq
    
    echo "Correção aplicada. Nova versão instalada: $(dnsmasq --version 2>/dev/null | head -1 | awk '{print $3}')"
else
    echo "Sistema já está na versão corrigida ou superior. Nenhuma ação necessária."
fi

echo "=== Verificação concluída ==="

O script pode ser salvo como fix-dnsmasq.sh, tornar executável (chmod +x fix-dnsmasq.sh) e executado como root ou com sudo.

Produto recomendado: Segurança em Servidores Linux: Ataque e Defesa

Se você administra servidores Linux, compreender os fundamentos da segurança ofensiva e defensiva é tão importante quanto aplicar correções pontuais. O livro "Segurança em Servidores Linux: Ataque e Defesa", de (), oferece:

Técnicas práticas para blindar seu ambiente Linux;

Abordagem de ataque e defesa, ideal para administradores;

Conteúdo em português, focado em cenários reais.

🔗 Adquira o livro na Amazon e fortaleça suas defesas de forma definitiva.

Segurança em Servidores Linux: Ataque e Defesa (anúncio) -- > https://amzn.to/3PFKb4x

Por que este livro é importante? Ele capacita você a entender o porquê de vulnerabilidades como o existirem e como estruturar sua infraestrutura para evitá-las proativamente.

Eu ganho uma comissão quando você faz uma compra.

Mitigação Alternativa (Caso Não Possa Atualizar Agora)

Se você opera em um ambiente onde a atualização não pode ser feita imediatamente, existem medidas paliativas para reduzir o risco de exploração.

Opção 1: Bloquear Tráfego Suspeito com iptables

Como a falha explora pacotes BOOTREPLY (usados por clientes DHCP), você pode restringir o acesso à porta UDP 67 apenas para fontes confiáveis.

# Bloqueia pacotes BOOTREPLY vindos de qualquer lugar, exceto sua rede confiável
iptables -A INPUT -p udp --dport 67 -m string --string "BOOTREPLY" --algo bm -j DROP

# Permite apenas de fontes específicas (ex: seu servidor DHCP confiável)
iptables -A INPUT -p udp --dport 67 -s 192.168.1.0/24 -j ACCEPT

Atenção: Essa regra pode impactar o funcionamento normal do DHCP na sua rede. Teste antes em produção.

Opção 2: Restringir Acesso via AppArmor

O AppArmor pode isolar o processo dnsmasq, limitando os danos de uma possível execução de código. Embora o perfil padrão do dnsmasq no Ubuntu não seja ativado por padrão, você pode habilitá-lo.

# Habilita o perfil do AppArmor para o dnsmasq
sudo aa-enforce /etc/apparmor.d/usr.sbin.dnsmasq

# Reinicia o serviço para aplicar as restrições
sudo systemctl restart dnsmasq

Opção 3: Desativar a Opção Vulnerável (menos seguro, mas imediato)

Se a opção --dhcp-split-relay não for essencial, comente ou remova a linha do arquivo de configuração (/etc/dnsmasq.conf) e reinicie o serviço. Isso elimina o vetor de ataque, mas deixa outras potenciais vulnerabilidades.

Conclusão

A segurança de um servidor não se sustenta apenas reagindo a vulnerabilidades do passado, mas construindo uma mentalidade proativa. Você já deu o primeiro passo ao aprender a identificar, corrigir e mitigar uma falha no Dnsmasq.

Não deixe a segurança do seu servidor para depois!