autoritativna ažuriranja DNS servera u kojem četiri ranjivosti, od kojih bi dvije potencijalno mogle dovesti do daljinskog izvršavanja koda od strane napadača.
Ranjivosti CVE-2020-24696, CVE-2020-24697 i CVE-2020-24698
kod sa implementacijom mehanizma razmjene ključeva . Ranjivosti se pojavljuju samo kada je PowerDNS izgrađen sa GSS-TSIG podrškom (“—enable-experimental-gss-tsig”, ne koristi se po defaultu) i mogu se iskoristiti slanjem posebno dizajniranog mrežnog paketa. Uslovi trke i ranjivosti bez dvostrukog pristupa CVE-2020-24696 i CVE-2020-24698 mogu dovesti do pada ili izvršenja napadačkog koda prilikom obrade zahteva sa pogrešno formatiranim GSS-TSIG potpisima. Ranjivost CVE-2020-24697 ograničena je na uskraćivanje usluge. Budući da GSS-TSIG kod nije korišten po defaultu, uključujući i distribucijske pakete, i potencijalno sadrži druge probleme, odlučeno je da se potpuno ukloni u izdanju PowerDNS Authoritative 4.4.0.
može dovesti do curenja informacija iz neinicijalizirane procesne memorije, ali se događa samo kada se obrađuju zahtjevi autentificiranih korisnika koji imaju mogućnost dodavanja novih zapisa u DNS zone koje opslužuje server.
izvor: opennet.ru