🥇 পাওয়ারডিএনএস অথরিটেটিভ সার্ভারে দুর্বলতা

উপলব্ধ প্রামাণিক DNS সার্ভার আপডেট পাওয়ারডিএনএস অথরিটেটিভ সার্ভার 4.3.1, 4.2.3 এবং 4.1.14যা নির্মূল চারটি দুর্বলতা, যার মধ্যে দুটি সম্ভাব্য আক্রমণকারীর দ্বারা দূরবর্তী কোড নির্বাহের দিকে নিয়ে যেতে পারে।

দুর্বলতা CVE-2020-24696, CVE-2020-24697 এবং CVE-2020-24698
প্রভাবিত কী বিনিময় প্রক্রিয়া বাস্তবায়নের সাথে কোড জিএসএস-টিএসআইজি. দুর্বলতাগুলি তখনই দেখা যায় যখন PowerDNS GSS-TSIG সমর্থন দিয়ে তৈরি করা হয় (“—enable-experimental-gss-tsig”, ডিফল্টরূপে ব্যবহার করা হয় না) এবং একটি বিশেষভাবে ডিজাইন করা নেটওয়ার্ক প্যাকেট পাঠানোর মাধ্যমে কাজে লাগানো যেতে পারে। রেস শর্ত এবং দ্বিগুণ-মুক্ত দুর্বলতা CVE-2020-24696 এবং CVE-2020-24698 ভুলভাবে ফর্ম্যাট করা GSS-TSIG স্বাক্ষর সহ অনুরোধগুলি প্রক্রিয়া করার সময় আক্রমণকারী কোড ক্র্যাশ বা কার্যকর করতে পারে। দুর্বলতা CVE-2020-24697 পরিষেবা অস্বীকারের মধ্যে সীমাবদ্ধ। যেহেতু GSS-TSIG কোড ডিফল্টভাবে ব্যবহার করা হয়নি, ডিস্ট্রিবিউশন প্যাকেজ সহ, এবং সম্ভাব্য অন্যান্য সমস্যা রয়েছে, তাই PowerDNS অথরিটেটিভ 4.4.0 প্রকাশে এটি সম্পূর্ণরূপে অপসারণের সিদ্ধান্ত নেওয়া হয়েছিল।

জন্য CVE-2020-17482 অপ্রচলিত প্রক্রিয়া মেমরি থেকে তথ্য ফাঁস হতে পারে, কিন্তু শুধুমাত্র তখনই ঘটে যখন সার্ভার দ্বারা পরিবেশিত DNS জোনে নতুন রেকর্ড যোগ করার ক্ষমতা আছে এমন প্রমাণীকৃত ব্যবহারকারীদের কাছ থেকে অনুরোধ প্রক্রিয়াকরণ করা হয়।

উত্স: opennet.ru

পাওয়ারডিএনএস অথরিটেটিভ সার্ভারে দুর্বলতা

একটি মন্তব্য জুড়ুন উত্তর বাতিল