ይገኛል ስልጣን ያለው የዲ ኤን ኤስ አገልጋይ ዝመናዎች የPowerDNS ስልጣን አገልጋይ 4.3.1፣ 4.2.3 እና 4.1.14በየትኛው ተወግዷል አራት ተጋላጭነቶች፣ ሁለቱ በአጥቂ ወደ የርቀት ኮድ አፈፃፀም ሊመሩ ይችላሉ።
ተጋላጭነቶች CVE-2020-24696፣ CVE-2020-24697 እና CVE-2020-24698
ተጽዕኖ ኮድ ከቁልፍ ልውውጥ ዘዴ ትግበራ ጋር GSS-TSIG. ድክመቶቹ የሚታዩት PowerDNS በGSS-TSIG ድጋፍ (“—enable-experimental-gss-tsig”፣ በነባሪነት ጥቅም ላይ የማይውል ከሆነ) እና በልዩ ሁኔታ የተነደፈ የአውታረ መረብ ፓኬት በመላክ ጥቅም ላይ ሊውል ይችላል። የውድድር ሁኔታዎች እና ድርብ-ነጻ ተጋላጭነቶች CVE-2020-24696 እና CVE-2020-24698 በስህተት በተቀረጹ የ GSS-TSIG ፊርማዎች ጥያቄዎችን ሲያቀርቡ የአጥቂ ኮድ ወደ ብልሽት ወይም አፈፃፀም ሊያመራ ይችላል። ተጋላጭነቱ CVE-2020-24697 አገልግሎትን በመከልከል የተገደበ ነው። የ GSS-TSIG ኮድ በነባሪነት ጥቅም ላይ ያልዋለ፣ በስርጭት ፓኬጆች ውስጥ ጨምሮ፣ እና ሌሎች ችግሮች ሊኖሩት ስለሚችል፣ በPowerDNS Authoritative 4.4.0 መለቀቅ ላይ ሙሉ ለሙሉ ለማስወገድ ተወስኗል።
CVE-2020-17482 ካልታወቀ የሂደት ማህደረ ትውስታ ወደ መረጃ መፍሰስ ሊያመራ ይችላል፣ ነገር ግን በአገልጋዩ ለሚቀርቡት የዲ ኤን ኤስ ዞኖች አዳዲስ መዝገቦችን የመጨመር ችሎታ ካላቸው ተጠቃሚዎች የሚቀርቡ ጥያቄዎችን ሲሰራ ብቻ ነው።
ምንጭ: opennet.ru