awtoritatibo nga DNS server updates diin upat ka mga kahuyangan, duha niini posibleng mosangpot sa remote code execution sa usa ka tig-atake.
Mga kahuyangan CVE-2020-24696, CVE-2020-24697 ug CVE-2020-24698
code uban ang pagpatuman sa key exchange mechanism . Ang mga kahuyangan makita lamang kung ang PowerDNS gitukod nga adunay suporta sa GSS-TSIG ("-enable-experimental-gss-tsig", dili gigamit nga default) ug mahimong mapahimuslan pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo nga pakete sa network. Ang mga kondisyon sa lumba ug double-free nga mga kahuyangan ang CVE-2020-24696 ug CVE-2020-24698 mahimong mosangpot sa pagkahagsa o ββpagpatuman sa attacker code sa pagproseso sa mga hangyo nga adunay sayop nga pagkaporma sa GSS-TSIG nga mga pirma. Ang pagkahuyang nga CVE-2020-24697 limitado sa pagdumili sa serbisyo. Tungod kay ang GSS-TSIG code wala gigamit sa default, lakip sa mga pakete sa pag-apod-apod, ug posibleng adunay uban pang mga problema, nakahukom nga hingpit nga tangtangon kini sa pagpagawas sa PowerDNS Authoritative 4.4.0.
mahimong mosangpot sa pagtagas sa impormasyon gikan sa uninitialized nga panumduman sa proseso, apan mahitabo lamang kung ang pagproseso sa mga hangyo gikan sa napamatud-an nga mga tiggamit nga adunay katakus sa pagdugang og bag-ong mga rekord sa DNS zones nga gisilbihan sa server.
Source: opennet.ru