Byly zveřejněny opravné aktualizace pro stabilní větve serveru DNS BIND 9.11.28 a 9.16.12 a také pro experimentální větev 9.17.10, která je ve vývoji. Nové verze řeší zranitelnost přetečení vyrovnávací paměti (CVE-2020-8625), která by mohla potenciálně vést ke vzdálenému spuštění kódu útočníkem. Dosud nebyly identifikovány žádné stopy pracovních vykořisťování.
Problém je způsoben chybou v implementaci mechanismu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) používaného v GSSAPI k vyjednávání metod ochrany používaných klientem a serverem. GSSAPI se používá jako protokol na vysoké úrovni pro zabezpečenou výměnu klíčů pomocí rozšíření GSS-TSIG používaného v procesu ověřování dynamických aktualizací zóny DNS.
Tato chyba zabezpečení ovlivňuje systémy, které jsou nakonfigurovány pro používání GSS-TSIG (například pokud jsou použita nastavení pověření tkey-gssapi-keytab a tkey-gssapi). GSS-TSIG se obvykle používá ve smíšených prostředích, kde je BIND kombinován s řadiči domény Active Directory, nebo když je integrován se Sambou. Ve výchozí konfiguraci je GSS-TSIG zakázán.
Řešením pro zablokování problému, které nevyžaduje deaktivaci GSS-TSIG, je sestavení BIND bez podpory pro mechanismus SPNEGO, který lze deaktivovat zadáním možnosti „--disable-isc-spnego“ při spuštění skriptu „configure“. Problém zůstává nevyřešen v distribucích. Dostupnost aktualizací můžete sledovat na následujících stránkách: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Zdroj: opennet.ru