Korrigearjende fernijings binne publisearre foar de stabile tûken fan 'e BIND DNS-tsjinner 9.11.28 en 9.16.12, lykas ek de eksperimintele branch 9.17.10, dy't yn ûntwikkeling is. De nije releases rjochtsje in kwetsberens foar bufferoverflow (CVE-2020-8625) dy't mooglik liede kinne ta útfiering fan koade op ôfstân troch in oanfaller. Der binne noch gjin spoaren fan wurkjende eksploaten identifisearre.
It probleem wurdt feroarsake troch in flater yn de útfiering fan de SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) meganisme brûkt yn GSSAPI te ûnderhanneljen de beskerming metoaden brûkt troch de klant en tsjinner. GSSAPI wurdt brûkt as in protokol op hege nivo foar feilige kaai-útwikseling mei de GSS-TSIG-útwreiding dy't brûkt wurdt yn it proses fan autentikaasje fan dynamyske DNS-sône-updates.
De kwetsberens hat ynfloed op systemen dy't ynsteld binne om GSS-TSIG te brûken (bygelyks as de tkey-gssapi-keytab en tkey-gssapi-credential ynstellings wurde brûkt). GSS-TSIG wurdt typysk brûkt yn mingde omjouwings dêr't BIND wurdt kombinearre mei Active Directory domein controllers, of as yntegrearre mei Samba. Yn de standert konfiguraasje is GSS-TSIG útskeakele.
In oplossing foar it blokkearjen fan it probleem dat it net útskeakeljen fan GSS-TSIG fereasket is om BIND te bouwen sûnder stipe foar it SPNEGO-meganisme, dat kin wurde útskeakele troch de opsje "--disable-isc-spnego" op te jaan by it útfieren fan it skript "konfigurearje". It probleem bliuwt unfixed yn distribúsjes. Jo kinne de beskikberens fan updates folgje op 'e folgjende siden: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Boarne: opennet.ru