Апублікаваны якія карэктуюць абнаўленні стабільных галінак DNS-сервера BIND 9.11.28 і 9.16.12, а таксама змешчанай у распрацоўцы эксперыментальнай галіны 9.17.10. У новых выпусках ухіленая ўразлівасць (CVE-2020-8625), якая прыводзіць да перапаўнення буфера і патэнцыйна здольная прывесці да выдаленага выканання кода зламысніка. Слядоў наяўнасці працоўных эксплоітаў пакуль не выяўлена.
Праблема выклікана памылкай у рэалізацыі механізму SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), які ўжываецца ў GSSAPI для ўзгаднення выкарыстоўваных кліентам і серверам метадаў абароны. GSSAPI выкарыстоўваецца ў якасці высокаўзроўневага пратакола для абароненага абмену ключамі пры дапамозе пашырэння GSS-TSIG, які ўжываецца падчас праверкі сапраўднасці дынамічных абнаўленняў DNS-зон.
Уразлівасць закранае сістэмы, у наладах якіх уключана выкарыстанне GSS-TSIG (напрыклад, калі выкарыстоўваюцца налады tkey-gssapi-keytab і tkey-gssapi-credential). GSS-TSIG звычайна прымяняецца ў змешаных асяродках, у якіх BIND спалучаецца з кантролерамі дамена Active Directory, або пры інтэграцыі з Samba. У канфігурацыі па змаўчанні GSS-TSIG адключаны.
У якасці абыходнага шляху блакавання праблемы, які не патрабуе адключэння GSS-TSIG, называецца зборка BIND без падтрымкі механізму SPNEGO, які можна адключыць праз указанне пры запуску скрыпту "configure" опцыі "-disable-isc-spnego". У дыстрыбутывах праблема пакуль застаецца нявыпраўленай. Прасачыць за з'яўленнем абнаўленняў можна на наступных старонках: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Крыніца: opennet.ru