autoritative DNS-tsjinner updates , wêryn fjouwer kwetsberens, wêrfan twa mooglik liede kinne ta it útfieren fan koade op ôfstân troch in oanfaller.
Kwetsberheden CVE-2020-24696, CVE-2020-24697 en CVE-2020-24698
koade mei de ymplemintaasje fan de kaai útwikseling meganisme . De kwetsberens ferskine allinich as PowerDNS is boud mei GSS-TSIG-stipe ("-enable-experimental-gss-tsig", net standert brûkt) en kin brûkt wurde troch it ferstjoeren fan in spesjaal ûntwurpen netwurkpakket. Racebetingsten en dûbelfrije kwetsberens CVE-2020-24696 en CVE-2020-24698 kinne liede ta crash of útfiering fan oanfallerkoade by it ferwurkjen fan oanfragen mei ferkeard opmakke GSS-TSIG-hantekeningen. De kwetsberens CVE-2020-24697 is beheind ta ûntkenning fan tsjinst. Sûnt de GSS-TSIG-koade net standert brûkt waard, ynklusyf yn distribúsjepakketten, en mooglik oare problemen befettet, waard besletten om it folslein te ferwiderjen yn 'e frijlitting fan PowerDNS Authoritative 4.4.0.
kin liede ta ynformaasje leakage út uninitialized proses ûnthâld, mar allinnich komt foar by it ferwurkjen fan fersiken fan autentike brûkers dy't hawwe de mooglikheid om te foegjen nije records oan de DNS sônes betsjinne troch de tsjinner.
Boarne: opennet.ru