mana hoʻopuka kikowaena DNS mana i loko o ʻehā mau nāwaliwali, ʻelua o ia mau mea hiki ke alakaʻi i ka hoʻokō code mamao e ka mea hoʻouka.
Nā mea nawaliwali CVE-2020-24696, CVE-2020-24697 a me CVE-2020-24698
code me ka hoʻokō ʻana i ka mīkini hoʻololi kī . Hōʻike wale ʻia nā nāwaliwali ke kūkulu ʻia ʻo PowerDNS me ke kākoʻo GSS-TSIG ("—enable-experimental-gss-tsig", ʻaʻole i hoʻohana ʻia e ka paʻamau) a hiki ke hoʻohana ʻia ma ka hoʻouna ʻana i kahi ʻeke pūnaewele i hoʻolālā ʻia. ʻO nā kūlana lāhui a me nā haʻahaʻa lua ʻole CVE-2020-24696 a me CVE-2020-24698 hiki ke alakaʻi i ka hāʻule ʻana a i ʻole ka hoʻokō ʻana i ka code attacker i ka wā e hoʻoponopono ai i nā noi me nā pūlima GSS-TSIG i hoʻopaʻa hewa ʻia. ʻO ka vulnerability CVE-2020-24697 i kaupalena ʻia i ka hōʻole ʻana i ka lawelawe. No ka mea, ʻaʻole i hoʻohana ʻia ke code GSS-TSIG ma ke ʻano maʻamau, e komo pū me nā pūʻolo hoʻohele, a loaʻa paha nā pilikia ʻē aʻe, ua hoʻoholo ʻia e wehe loa iā ia ma ka hoʻokuʻu ʻana o PowerDNS Authoritative 4.4.0.
hiki ke alakaʻi i ka leakage ʻike mai ka hoʻomanaʻo ʻana i ke kaʻina hana uninitialized, akā aia wale nō i ka wā e hoʻoponopono ai i nā noi mai nā mea hoʻohana i hōʻoia ʻia i hiki ke hoʻohui i nā moʻolelo hou i nā ʻāpana DNS i lawelawe ʻia e ke kikowaena.
Source: opennet.ru