Des mises à jour correctives ont été publiées pour les branches stables du serveur DNS BIND 9.11.28 et 9.16.12, ainsi que pour la branche expérimentale 9.17.10, en cours de développement. Les nouvelles versions corrigent une vulnérabilité de dépassement de tampon (CVE-2020-8625) qui pourrait potentiellement conduire à l'exécution de code à distance par un attaquant. Aucune trace d'exploits fonctionnels n'a encore été identifiée.
Le problème est dû à une erreur dans l'implémentation du mécanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) utilisé dans GSSAPI pour négocier les méthodes de protection utilisées par le client et le serveur. GSSAPI est utilisé comme protocole de haut niveau pour l'échange sécurisé de clés à l'aide de l'extension GSS-TSIG utilisée dans le processus d'authentification des mises à jour dynamiques des zones DNS.
La vulnérabilité affecte les systèmes configurés pour utiliser GSS-TSIG (par exemple, si les paramètres tkey-gssapi-keytab et tkey-gssapi-credential sont utilisés). GSS-TSIG est généralement utilisé dans des environnements mixtes où BIND est combiné avec des contrôleurs de domaine Active Directory, ou lorsqu'il est intégré à Samba. Dans la configuration par défaut, GSS-TSIG est désactivé.
Une solution de contournement pour bloquer le problème qui ne nécessite pas de désactiver GSS-TSIG consiste à créer BIND sans prendre en charge le mécanisme SPNEGO, qui peut être désactivé en spécifiant l'option « --disable-isc-spnego » lors de l'exécution du script « configure ». Le problème reste non résolu dans les distributions. Vous pouvez suivre la disponibilité des mises à jour sur les pages suivantes : Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Source: opennet.ru