Korrektiewe opdaterings is gepubliseer vir die stabiele takke van die BIND DNS-bediener 9.11.28 en 9.16.12, sowel as die eksperimentele tak 9.17.10, wat in ontwikkeling is. Die nuwe vrystellings spreek 'n buffer-oorloopkwesbaarheid aan (CVE-2020-8625) wat moontlik kan lei tot die uitvoering van afstandkode deur 'n aanvaller. Geen spore van werkende uitbuitings is nog geïdentifiseer nie.
Die probleem word veroorsaak deur 'n fout in die implementering van die SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) meganisme wat in GSSAPI gebruik word om die protokolle wat deur die kliënt gebruik word, te onderhandel en bediener Sekuriteitsmetodes. GSSAPI word gebruik as 'n hoëvlakprotokol vir veilige sleuteluitruiling met behulp van die GSS-TSIG-uitbreiding, wat gebruik word in die proses om die egtheid van dinamiese DNS-sone-opdaterings te verifieer.
Die kwesbaarheid raak stelsels wat gekonfigureer is met GSS-TSIG geaktiveer (byvoorbeeld, as die tkey-gssapi-keytab en tkey-gssapi-credential instellings gebruik word). GSS-TSIG word tipies in gemengde omgewings gebruik waar BIND met beheerders gekombineer word. domein Active Directory, of wanneer dit met Samba integreer. In die standaardkonfigurasie is GSS-TSIG gedeaktiveer.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Boog Linux, FreeBSD, NetBSD.
Bron: opennet.ru
