Objavljena su korektivna ažuriranja za stabilne grane BIND DNS servera 9.11.28 i 9.16.12, kao i za eksperimentalnu granu 9.17.10 koja je u razvoju. Nova izdanja rješavaju ranjivost prekoračenja bafera (CVE-2020-8625) koja potencijalno može dovesti do daljinskog izvršavanja koda od strane napadača. Još uvijek nisu utvrđeni tragovi radnih eksploata.
Problem je uzrokovan greškom u implementaciji SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mehanizma koji se koristi u GSSAPI za pregovaranje o metodama zaštite koje koriste klijent i server. GSSAPI se koristi kao protokol visokog nivoa za sigurnu razmjenu ključeva koristeći GSS-TSIG ekstenziju koja se koristi u procesu provjere autentičnosti dinamičkih ažuriranja DNS zona.
Ranjivost utiče na sisteme koji su konfigurisani da koriste GSS-TSIG (na primer, ako se koriste postavke key-gssapi-keytab i tkey-gssapi-credential). GSS-TSIG se obično koristi u mješovitim okruženjima gdje je BIND kombinovan sa Active Directory domenskim kontrolerima ili kada je integrisan sa Sambom. U podrazumevanoj konfiguraciji, GSS-TSIG je onemogućen.
Zaobilazno rješenje za blokiranje problema koji ne zahtijeva onemogućavanje GSS-TSIG-a je izrada BIND-a bez podrške za SPNEGO mehanizam, koji se može onemogućiti navođenjem opcije “--disable-isc-spnego” prilikom pokretanja skripte “configure”. Problem ostaje neriješen u distribucijama. Dostupnost ažuriranja možete pratiti na sljedećim stranicama: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
izvor: opennet.ru