تم نشر التحديثات التصحيحية للفروع المستقرة لخادم BIND DNS 9.11.28 و9.16.12، بالإضافة إلى الفرع التجريبي 9.17.10 الذي هو قيد التطوير. تتناول الإصدارات الجديدة ثغرة أمنية في تجاوز سعة المخزن المؤقت (CVE-2020-8625) والتي من المحتمل أن تؤدي إلى تنفيذ تعليمات برمجية عن بُعد بواسطة مهاجم. لم يتم تحديد أي آثار لاستغلالات العمل حتى الآن.
سبب المشكلة هو خطأ في تنفيذ آلية SPNEGO (آلية تفاوض GSSAPI البسيطة والمحمية) المستخدمة في GSSAPI للتفاوض بشأن أساليب الحماية المستخدمة من قبل العميل والخادم. يتم استخدام GSSAPI كبروتوكول عالي المستوى لتبادل المفاتيح الآمنة باستخدام امتداد GSS-TSIG المستخدم في عملية مصادقة تحديثات منطقة DNS الديناميكية.
تؤثر الثغرة الأمنية على الأنظمة التي تم تكوينها لاستخدام GSS-TSIG (على سبيل المثال، في حالة استخدام إعدادات بيانات الاعتماد tkey-gssapi-keytab وtkey-gssapi). يتم استخدام GSS-TSIG عادةً في البيئات المختلطة حيث يتم دمج BIND مع وحدات تحكم مجال Active Directory، أو عند دمجها مع Samba. في التكوين الافتراضي، يتم تعطيل GSS-TSIG.
الحل البديل لحظر المشكلة التي لا تتطلب تعطيل GSS-TSIG هو إنشاء BIND دون دعم آلية SPNEGO، والتي يمكن تعطيلها عن طريق تحديد خيار "--disable-isc-spnego" عند تشغيل البرنامج النصي "configure". تبقى المشكلة دون حل في التوزيعات. يمكنك تتبع مدى توفر التحديثات على الصفحات التالية: Debian، RHEL، SUSE، Ubuntu، Fedora، Arch Linux، FreeBSD، NetBSD.
المصدر: opennet.ru