Mizajou korektif yo te pibliye pou branch ki estab nan sèvè BIND DNS 9.11.28 ak 9.16.12, osi byen ke branch eksperimantal 9.17.10, ki an devlopman. Nouvo degaje yo adrese yon vilnerabilite debòde tanpon (CVE-2020-8625) ki kapab potansyèlman mennen nan ekzekisyon kòd aleka pa yon atakè. Yo poko idantifye okenn tras eksplwatasyon k ap travay.
Pwoblèm nan koze pa yon erè nan aplikasyon SPNEGO (Senp and Protected GSSAPI Negotiation Mechanism) mekanis ki itilize nan GSSAPI pou negosye metòd pwoteksyon kliyan an ak sèvè yo itilize. GSSAPI yo itilize kòm yon pwotokòl wo nivo pou echanj kle an sekirite lè l sèvi avèk ekstansyon GSS-TSIG yo itilize nan pwosesis otantifikasyon dinamik zòn DNS mizajou.
Vilnerabilite a afekte sistèm ki configuré pou itilize GSS-TSIG (pa egzanp, si yo itilize paramèt tkey-gssapi-keytab ak tkey-gssapi-credential). GSS-TSIG anjeneral yo itilize nan anviwònman melanje kote BIND konbine avèk contrôleur domèn Active Directory, oswa lè entegre ak Samba. Nan konfigirasyon default la, GSS-TSIG enfim.
Yon solisyon pou bloke pwoblèm nan ki pa mande pou enfimite GSS-TSIG se bati BIND san sipò pou mekanis SPNEGO a, ki ka enfim lè w espesifye opsyon "--disable-isc-spnego" lè w ap kouri script "configure". Pwoblèm nan rete unfixed nan distribisyon. Ou ka swiv disponiblite mizajou nan paj sa yo: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Sous: opennet.ru