Für die stabilen Zweige des BIND-DNS-Servers 9.11.28 und 9.16.12 sowie den experimentellen Zweig 9.17.10, der sich in der Entwicklung befindet, wurden korrigierende Updates veröffentlicht. Die neuen Versionen beheben eine Pufferüberlauf-Schwachstelle (CVE-2020-8625), die möglicherweise zur Remote-Codeausführung durch einen Angreifer führen könnte. Es wurden noch keine Spuren funktionierender Exploits gefunden.
Das Problem wird durch einen Fehler in der Implementierung des SPNEGO-Mechanismus (Simple and Protected GSSAPI Negotiation Mechanism) verursacht, der in GSSAPI zum Aushandeln der vom Client und Server verwendeten Schutzmethoden verwendet wird. GSSAPI wird als High-Level-Protokoll für den sicheren Schlüsselaustausch unter Verwendung der GSS-TSIG-Erweiterung verwendet, die bei der Authentifizierung dynamischer DNS-Zonenaktualisierungen verwendet wird.
Die Sicherheitslücke betrifft Systeme, die für die Verwendung von GSS-TSIG konfiguriert sind (z. B. wenn die Einstellungen tkey-gssapi-keytab und tkey-gssapi-credential verwendet werden). GSS-TSIG wird typischerweise in gemischten Umgebungen verwendet, in denen BIND mit Active Directory-Domänencontrollern kombiniert wird oder wenn es in Samba integriert ist. In der Standardkonfiguration ist GSS-TSIG deaktiviert.
Eine Problemumgehung zum Blockieren des Problems, die keine Deaktivierung von GSS-TSIG erfordert, besteht darin, BIND ohne Unterstützung für den SPNEGO-Mechanismus zu erstellen, der durch Angabe der Option „--disable-isc-spnego“ beim Ausführen des „configure“-Skripts deaktiviert werden kann. In Distributionen bleibt das Problem weiterhin bestehen. Sie können die Verfügbarkeit von Updates auf den folgenden Seiten verfolgen: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Source: opennet.ru