Objavljena su popravna ažuriranja za stabilne grane BIND DNS poslužitelja 9.11.28 i 9.16.12, kao i za eksperimentalnu granu 9.17.10, koja je u razvoju. Nova izdanja rješavaju ranjivost prekoračenja međuspremnika (CVE-2020-8625) koja potencijalno može dovesti do daljinskog izvršavanja koda od strane napadača. Još uvijek nisu identificirani nikakvi tragovi radnih podviga.
Problem je uzrokovan pogreškom u implementaciji mehanizma SPNEGO (jednostavan i zaštićen GSSAPI pregovarački mehanizam) koji se koristi u GSSAPI-ju za pregovaranje zaštitnih metoda koje koriste klijent i poslužitelj. GSSAPI se koristi kao protokol visoke razine za sigurnu razmjenu ključeva pomoću ekstenzije GSS-TSIG koja se koristi u procesu provjere autentičnosti ažuriranja dinamičke DNS zone.
Ranjivost utječe na sustave koji su konfigurirani za korištenje GSS-TSIG-a (na primjer, ako se koriste postavke tkey-gssapi-keytab i tkey-gssapi-credential). GSS-TSIG se obično koristi u mješovitim okruženjima gdje je BIND kombiniran s kontrolerima domene Active Directory ili kada je integriran sa Sambom. U zadanoj konfiguraciji GSS-TSIG je onemogućen.
Zaobilazno rješenje za blokiranje problema koje ne zahtijeva onemogućavanje GSS-TSIG-a je izgradnja BIND-a bez podrške za mehanizam SPNEGO, koji se može onemogućiti navođenjem opcije “--disable-isc-spnego” prilikom pokretanja skripte “configure”. Problem ostaje neriješen u distribucijama. Dostupnost ažuriranja možete pratiti na sljedećim stranicama: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Izvor: opennet.ru