11 мая 2026 года CERT выпустил пакет из шести критических уязвимостей с идентификаторами CVE в программном обеспечении dnsmasq. Большинство из этих багов существовало уже давно и затрагивает почти все версии проекта, кроме самых старых. Сами разработчики, включая создателя Симаона Келли, заранее предупредили вендоров о найденных проблемах, чтобы те успели вовремя выпустить исправленные версии пакетов. Детали, а также готовые патчи доступны на официальном сайте разработчиков. Келли уже подготовил релиз 2.92rel2 для текущей стабильной ветки 2.92, где применены все эти исправления. В то же время в дистрибутивную ветку закоммичены обновления, которые в некоторых случаях представляют собой более глубокие переписывания кода для устранения причин ошибок, а не просто поверхностные заплатки.
Ситуация обострилась на фоне революции в области исследований безопасности на базе ИИ. За последние пару месяцев команда потонула в жалобах на баги, отфильтровывая сотни дубликатов. Келли был вынужден принимать субъективные решения о том, какие проблемы скрывать до исправления, а какие сразу публиковать. Опыт показывает, что если за эти уязвимости борются «хорошие парни», то «плохие парни» тоже умеют ими пользоваться, поэтому длительные моратории на публикацию часто бессмысленны. Координирование эмбарго и подготовка обратных портов требует гигантских усилий и времени со стороны всех участников. Главный приоритет сместился в сторону немедленного устранения проблем, чтобы новые версии dnsmasq были максимально безотказными. Если вы заглянули в репозиторий Git за последнюю неделю, то заметили, что туда поступило множество коммитов именно с исправлениями безопасности.
В ближайших планах создателя — оформление тега релиз-кандидата dnsmasq-2.93rc1, чтобы как можно скорее выпустить стабильную версию 2.93. Проверка кандидатов на стабильность членами сообщества критически важна, и Келли просит желающих приступить к тестированию. Оптимистичный сценарий предполагает выход финальной сборки 2.93 примерно через неделю. Однако поток сгенерированных искусственным интеллектом отчетов об ошибках не утихает, и вероятнее всего, этот процесс придется повторить снова. Симуон Келли определился с выбором: приоритет отдают скорости выхода нового релиза, а работу по устранению остальных неполадок будут продолжать параллельно, чтобы не задерживать обновление пользователей.