Sicherheitsanfälligkeit im DNS-Server BIND, die Remote-Codeausführung nicht ausschließt

Korrigierende Updates für die stabilen Versionen der DNS-Server BIND 9.11.28 und 9.16.12 sowie die in Entwicklung befindliche experimentelle Version 9.17.10 wurden veröffentlicht. In den neuen Versionen wurde eine Schwachstelle (CVE-2020-8625) behoben, die zu einem Bufferüberlauf führen kann und potenziell eine Remote-Codeausführung durch Angreifer ermöglicht. Bisher wurden keine funktionierenden Exploits festgestellt.

Das Problem wird durch einen Fehler in der Implementierung des SPNEGO-Mechanismus (Simple and Protected GSSAPI Negotiation Mechanism) verursacht, der in GSSAPI verwendet wird, um die von den Clients genutzten Methoden zu verhandeln. dem Server durch GSSAPI wird als hochrangiges Protokoll für den sicheren Austausch von Schlüsseln verwendet, wobei die Erweiterung GSS-TSIG zur Authentifizierung dynamischer DNS-Zonenaktualisierungen eingesetzt wird.

Die Schwachstelle betrifft Systeme, in denen die Verwendung von GSS-TSIG aktiviert ist (zum Beispiel bei den Einstellungen tkey-gssapi-keytab und tkey-gssapi-credential). GSS-TSIG wird häufig in gemischten Umgebungen verwendet, in denen BIND mit Active Directory-Controller oder bei der Integration mit Samba kombiniert wird. GSS-TSIG ist in der Standardkonfiguration deaktiviert. Nach Abschluss des Transfers kann die Domain auf unser Hosting gerichtet werden. Active Directory oder bei der Integration mit Samba. In der Standardkonfiguration ist GSS-TSIG deaktiviert.

Ein möglicher Workaround für das Blockierungsproblem, ohne GSS-TSIG deaktivieren zu müssen, ist die Verwendung einer BIND-Version ohne Unterstützung für den SPNEGO-Mechanismus. Diese lässt sich durch die Angabe der Option „—disable-isc-spnego“ beim Start des „configure“-Skripts deaktivieren. In den Distributionen bleibt das Problem vorerst ungelöst. Updates können auf den folgenden Seiten verfolgt werden: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster