autoritative DNS-serveropdateringer hvori fire sårbarheder, hvoraf to potentielt kan føre til fjernudførelse af kode af en angriber.
Sårbarheder CVE-2020-24696, CVE-2020-24697 og CVE-2020-24698
kode med implementeringen af nøgleudvekslingsmekanismen . Sårbarhederne vises kun, når PowerDNS er bygget med GSS-TSIG-understøttelse ("—enable-experimental-gss-tsig", bruges ikke som standard) og kan udnyttes ved at sende en specielt designet netværkspakke. Raceforhold og dobbeltfrie sårbarheder CVE-2020-24696 og CVE-2020-24698 kan føre til nedbrud eller eksekvering af angriberkode ved behandling af anmodninger med forkert formaterede GSS-TSIG-signaturer. Sårbarheden CVE-2020-24697 er begrænset til lammelsesangreb. Da GSS-TSIG-koden ikke blev brugt som standard, inklusive i distributionspakker, og potentielt indeholder andre problemer, blev det besluttet helt at fjerne den i udgivelsen af PowerDNS Authoritative 4.4.0.
kan føre til informationslækage fra uinitialiseret proceshukommelse, men forekommer kun, når der behandles anmodninger fra godkendte brugere, som har mulighed for at tilføje nye poster til DNS-zonerne, der betjenes af serveren.
Kilde: opennet.ru