Έχουν δημοσιευτεί διορθωτικές ενημερώσεις για τους σταθερούς κλάδους του διακομιστή BIND DNS 9.11.28 και 9.16.12, καθώς και για τον πειραματικό κλάδο 9.17.10, ο οποίος βρίσκεται υπό ανάπτυξη. Οι νέες εκδόσεις αντιμετωπίζουν μια ευπάθεια υπερχείλισης buffer (CVE-2020-8625) που θα μπορούσε ενδεχομένως να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα από έναν εισβολέα. Δεν έχουν εντοπιστεί ακόμη ίχνη εργασιακών εκμεταλλεύσεων.
Το πρόβλημα προκαλείται από ένα σφάλμα στην υλοποίηση του μηχανισμού SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) που χρησιμοποιείται στο GSSAPI για τη διαπραγμάτευση των μεθόδων προστασίας που χρησιμοποιούνται από τον πελάτη και τον διακομιστή. Το GSSAPI χρησιμοποιείται ως πρωτόκολλο υψηλού επιπέδου για ασφαλή ανταλλαγή κλειδιών χρησιμοποιώντας την επέκταση GSS-TSIG που χρησιμοποιείται στη διαδικασία ελέγχου ταυτότητας ενημερώσεων δυναμικής ζώνης DNS.
Η ευπάθεια επηρεάζει συστήματα που έχουν ρυθμιστεί να χρησιμοποιούν GSS-TSIG (για παράδειγμα, εάν χρησιμοποιούνται οι ρυθμίσεις tkey-gssapi-keytab και tkey-gssapi-credential). Το GSS-TSIG χρησιμοποιείται συνήθως σε μικτά περιβάλλοντα όπου το BIND συνδυάζεται με ελεγκτές τομέα Active Directory ή όταν είναι ενσωματωμένο με το Samba. Στην προεπιλεγμένη διαμόρφωση, το GSS-TSIG είναι απενεργοποιημένο.
Μια λύση για τον αποκλεισμό του προβλήματος που δεν απαιτεί απενεργοποίηση του GSS-TSIG είναι η δημιουργία BIND χωρίς υποστήριξη για τον μηχανισμό SPNEGO, ο οποίος μπορεί να απενεργοποιηθεί καθορίζοντας την επιλογή "--disable-isc-spnego" κατά την εκτέλεση του σεναρίου "configure". Το πρόβλημα παραμένει άλυτο στις διανομές. Μπορείτε να παρακολουθείτε τη διαθεσιμότητα ενημερώσεων στις ακόλουθες σελίδες: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Πηγή: opennet.ru