Avaldatud on DNS-serveri BIND stabiilsete harude versioonide 9.11.28 ja 9.16.12 parandusteated ning arenduses oleva katseharu 9.17.10. Uutes versioonides on kõrvaldatud haavatavus (CVE-2020-8625), mis põhjustab puhverülekannet ja võib potentsiaalselt viia pahatahtliku koodi kaugteostamiseni. Töökindlate eksploitide olemasolu ei ole seni tuvastatud.
Probleem on põhjustatud vea tõttu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) rakenduses, mida kasutatakse GSSAPI-s kliendi ja serveriga kaitsemeetodite kokkuleppimiseks. GSSAPI-d kasutatakse kõrgetasemelise protokollina võtmepaaride turvaliseks vahetamiseks GSS-TSIG laienduse kaudu, mida rakendatakse DNS-ala autentimise protsessis.
Haavatavus mõjutab süsteeme, kus on aktiveeritud GSS-TSIG kasutamine (näiteks, kui on kasutatud seadeid tkey-gssapi-keytab ja tkey-gssapi-credential). GSS-TSIG-d kasutatakse tavaliselt segatud keskkondades, kus BIND on seotud domeeni Active Directory kontrolleritega või kui on integreeritud Samba. Vaikeseadisena on GSS-TSIG välja lülitatud.
Probleemi lahendamiseks, mis ei nõua GSS-TSIG-i väljalülitamist, on pakutud BIND-i versioon, mis ei toeta SPNEGO-mehhanismi. Selle saab välja lülitada skripti 'configure' käivitamisel, kui kasutada valikut '--disable-isc-spnego'. Probleem jääb praegu veel lahendamata allkirjades. Uuenduste jälgimiseks võite külastada järgmisi lehti: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Allikas: opennet.ru
