Уязвимост в BIND DNS сървъра, която не изключва отдалечено изпълнение на код

Публикувани са коригиращи актуализации за стабилните клонове на BIND DNS сървъра 9.11.28 и 9.16.12, както и за експерименталния клон 9.17.10, който е в процес на разработка. Новите версии адресират уязвимост при препълване на буфер (CVE-2020-8625), която потенциално може да доведе до дистанционно изпълнение на код от нападател. Все още не са идентифицирани следи от работещи експлойти.

Проблемът е причинен от грешка в изпълнението на механизма SPNEGO (Прост и защитен GSSAPI Negotiation Mechanism), който се използва в GSSAPI за договаряне на методите за защита, използвани от клиента и сървъра. GSSAPI се използва като протокол от високо ниво за защитен обмен на ключове с помощта на разширението GSS-TSIG, използвано в процеса на удостоверяване на динамични актуализации на DNS зони.

Уязвимостта засяга системи, които са конфигурирани да използват GSS-TSIG (например, ако се използват настройките key-gssapi-keytab и key-gssapi-credential). GSS-TSIG обикновено се използва в смесени среди, където BIND се комбинира с домейн контролери на Active Directory или когато е интегриран със Samba. В конфигурацията по подразбиране GSS-TSIG е деактивиран.

Заобиколно решение за блокиране на проблема, което не изисква деактивиране на GSS-TSIG, е изграждането на BIND без поддръжка за механизма SPNEGO, който може да бъде деактивиран чрез указване на опцията „--disable-isc-spnego“ при изпълнение на скрипта „configure“. Проблемът остава неотстранен в дистрибуциите. Можете да следите наличността на актуализации на следните страници: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.

Източник: opennet.ru