પાવરડીએનએસ અધિકૃત સર્વરમાં નબળાઈઓ

ઉપલબ્ધ છે અધિકૃત DNS સર્વર અપડેટ્સ પાવરડીએનએસ અધિકૃત સર્વર 4.3.1, 4.2.3 અને 4.1.14જેમાં નાબૂદ ચાર નબળાઈઓ, જેમાંથી બે સંભવિતપણે હુમલાખોર દ્વારા રિમોટ કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે.

નબળાઈઓ CVE-2020-24696, CVE-2020-24697 અને CVE-2020-24698
અસર કરે છે કી એક્સચેન્જ મિકેનિઝમના અમલીકરણ સાથેનો કોડ GSS-TSIG. નબળાઈઓ ત્યારે જ દેખાય છે જ્યારે PowerDNS GSS-TSIG સપોર્ટ સાથે બનેલ હોય (“—enable-experimental-gss-tsig”, ડિફૉલ્ટ રૂપે ઉપયોગમાં લેવાતું નથી) અને ખાસ ડિઝાઇન કરેલ નેટવર્ક પેકેટ મોકલીને તેનો ઉપયોગ કરી શકાય છે. રેસની પરિસ્થિતિઓ અને ડબલ-ફ્રી નબળાઈઓ CVE-2020-24696 અને CVE-2020-24698 જ્યારે ખોટી રીતે ફોર્મેટ કરેલ GSS-TSIG સહીઓ સાથે વિનંતીઓ પર પ્રક્રિયા કરતી વખતે હુમલાખોર કોડના ક્રેશ અથવા અમલ તરફ દોરી શકે છે. નબળાઈ CVE-2020-24697 સેવાના ઇનકાર સુધી મર્યાદિત છે. GSS-TSIG કોડ ડિફૉલ્ટ રૂપે ઉપયોગમાં લેવાતો ન હોવાથી, ડિસ્ટ્રિબ્યુશન પેકેજો સહિત, અને સંભવિતપણે અન્ય સમસ્યાઓ ધરાવે છે, તેને PowerDNS અધિકૃત 4.4.0 ના પ્રકાશનમાં સંપૂર્ણપણે દૂર કરવાનો નિર્ણય લેવામાં આવ્યો હતો.

CVE-2020-17482 બિન-પ્રારંભિક પ્રક્રિયા મેમરીમાંથી માહિતી લિકેજ તરફ દોરી શકે છે, પરંતુ માત્ર ત્યારે જ થાય છે જ્યારે સર્વર દ્વારા સેવા આપતા DNS ઝોનમાં નવા રેકોર્ડ ઉમેરવાની ક્ષમતા ધરાવતા પ્રમાણિત વપરાશકર્તાઓની વિનંતીઓ પર પ્રક્રિયા કરવામાં આવે છે.

સોર્સ: opennet.ru