nuashonruithe freastalaí DNS údarásacha ina bhfuil ceithre leochaileacht, agus d'fhéadfadh dhá cheann díobh a bheith mar thoradh ar chianghníomhú cód ag ionsaitheoir.
Leochaileachtaí CVE-2020-24696, CVE-2020-24697 agus CVE-2020-24698
cód le cur i bhfeidhm na meicníochta malartaithe eochair . Ní bhíonn na leochaileachtaí le feiceáil ach amháin nuair a thógtar PowerDNS le tacaíocht GSS-TSIG (“—enable-experimental-gss-tsig”, nach n-úsáidtear de réir réamhshocraithe) agus is féidir iad a shaothrú trí phaicéad líonra atá saindeartha a sheoladh. D'fhéadfadh tuairteála nó forghníomhú cód ionsaitheora a bheith mar thoradh ar choinníollacha cine agus leochaileachtaí dúbailte saor ó CVE-2020-24696 agus CVE-2020-24698 nuair a bhíonn iarratais á bpróiseáil le sínithe GSS-TSIG atá formáidithe go mícheart. Tá an leochaileacht CVE-2020-24697 teoranta do shéanadh seirbhíse. Ós rud é nár úsáideadh an cód GSS-TSIG de réir réamhshocraithe, lena n-áirítear i bpacáistí dáileacháin, agus go bhféadfadh fadhbanna eile a bheith ann, socraíodh é a bhaint go hiomlán i scaoileadh PowerDNS Authoritative 4.4.0.
is féidir sceitheadh faisnéise a bheith mar thoradh air ó chuimhne próisis neamh-inchurtha, ach ní tharlaíonn sé ach nuair a phróiseáiltear iarratais ó úsáideoirí fíordheimhnithe a bhfuil an cumas acu taifid nua a chur leis na criosanna DNS a bhfreastalaíonn an freastalaí orthu.
Foinse: oscailtenet.ru