BIND DNS -palvelimen vakaille haaroille, versioille 9.11.28 ja 9.16.12, sekä kokeelliselle 9.17.10-haaralle, joka on parhaillaan kehitteillä, on julkaistu korjaavia päivityksiä. Nämä uudet julkaisut korjaavat puskurin ylivuotohaavoittuvuuden (CVE-2020-8625), joka voi mahdollisesti johtaa koodin etäsuorittamiseen. Toimivia hyökkäystapoja ei ole vielä tunnistettu.
Ongelman aiheuttaa virhe SPNEGO-mekanismin (Simple and Protected GSSAPI Negotiation Mechanism) toteutuksessa, jota käytetään GSSAPI:ssa asiakkaan käyttämien protokollien neuvottelemiseen. palvelin Suojausmenetelmät. GSSAPI:ta käytetään korkean tason protokollana turvalliseen avaintenvaihtoon GSS-TSIG-laajennuksen avulla, jota käytetään dynaamisten DNS-vyöhykepäivitysten aitouden varmentamisessa.
Haavoittuvuus vaikuttaa järjestelmiin, joissa GSS-TSIG on käytössä (esimerkiksi jos käytetään tkey-gssapi-keytab- ja tkey-gssapi-credential-asetuksia). GSS-TSIG:tä käytetään tyypillisesti sekaympäristöissä, joissa BIND yhdistetään ohjaimiin. verkkotunnus Active Directoryssa tai Samban kanssa integroitaessa. Oletuskokoonpanossa GSS-TSIG on poistettu käytöstä.
Kiertotapa, joka ei vaadi GSS-TSIG:n poistamista käytöstä, on rakentaa BIND ilman SPNEGO-tukea. SPNEGO voidaan poistaa käytöstä määrittämällä "--disable-isc-spnego"-asetus "configure"-komentosarjaa suoritettaessa. Ongelmaa ei ole korjattu jakeluissa. Voit seurata päivityksiä seuraavilla sivuilla: Debian, RHEL, SUSE, Ubuntu, Fedora, Kaari Linux, FreeBSD, NetBSD.
Lähde: opennet.ru
