Korrektiewe opdaterings is gepubliseer vir die stabiele takke van die BIND DNS-bediener 9.11.28 en 9.16.12, sowel as die eksperimentele tak 9.17.10, wat in ontwikkeling is. Die nuwe vrystellings spreek 'n buffer-oorloopkwesbaarheid aan (CVE-2020-8625) wat moontlik kan lei tot die uitvoering van afstandkode deur 'n aanvaller. Geen spore van werkende uitbuitings is nog geïdentifiseer nie.
Die probleem word veroorsaak deur 'n fout in die implementering van die SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) meganisme wat in GSSAPI gebruik word om die beskermingsmetodes wat deur die kliënt en bediener gebruik word, te onderhandel. GSSAPI word gebruik as 'n hoëvlakprotokol vir veilige sleuteluitruiling deur die GSS-TSIG-uitbreiding te gebruik wat gebruik word in die proses om dinamiese DNS-sone-opdaterings te staaf.
Die kwesbaarheid affekteer stelsels wat gekonfigureer is om GSS-TSIG te gebruik (byvoorbeeld, as die tkey-gssapi-keytab en tkey-gssapi-credential instellings gebruik word). GSS-TSIG word tipies gebruik in gemengde omgewings waar BIND gekombineer word met Active Directory-domeinbeheerders, of wanneer dit met Samba geïntegreer word. In die verstekkonfigurasie is GSS-TSIG gedeaktiveer.
'n Oplossing vir die blokkering van die probleem wat nie vereis dat GSS-TSIG gedeaktiveer word nie, is om BIND te bou sonder ondersteuning vir die SPNEGO-meganisme, wat gedeaktiveer kan word deur die "--disable-isc-spnego"-opsie te spesifiseer wanneer die "konfigureer"-skrip uitgevoer word. Die probleem bly onopgelos in verspreidings. U kan die beskikbaarheid van opdaterings op die volgende bladsye naspoor: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Bron: opennet.ru