gesaghebbende DNS-bedieneropdaterings waarin vier kwesbaarhede, waarvan twee moontlik kan lei tot die uitvoering van afgeleë kode deur 'n aanvaller.
Kwesbaarhede CVE-2020-24696, CVE-2020-24697 en CVE-2020-24698
kode met die implementering van die sleuteluitruilmeganisme . Die kwesbaarhede verskyn slegs wanneer PowerDNS gebou is met GSS-TSIG-ondersteuning ("—enable-experimental-gss-tsig", nie by verstek gebruik nie) en kan uitgebuit word deur 'n spesiaal ontwerpte netwerkpakkie te stuur. Rastoestande en dubbelvrye kwesbaarhede CVE-2020-24696 en CVE-2020-24698 kan lei tot ineenstorting of uitvoering van aanvallerkode wanneer versoeke met verkeerd geformateerde GSS-TSIG-handtekeninge verwerk word. Die kwesbaarheid CVE-2020-24697 is beperk tot ontkenning van diens. Aangesien die GSS-TSIG-kode nie by verstek gebruik is nie, insluitend in verspreidingspakkette, en moontlik ander probleme bevat, is daar besluit om dit heeltemal te verwyder in die vrystelling van PowerDNS Authoritative 4.4.0.
kan lei tot inligtinglekkasie uit ongeinitialiseerde prosesgeheue, maar vind slegs plaas wanneer versoeke van geverifieerde gebruikers verwerk word wat die vermoë het om nuwe rekords by die DNS-sones wat deur die bediener bedien word, te voeg.
Bron: opennet.ru