Javító frissítések jelentek meg a BIND DNS szerver 9.11.28 és 9.16.12 stabil ágaihoz, valamint a fejlesztés alatt álló 9.17.10 kísérleti ághoz. Az új kiadások egy puffertúlcsordulási biztonsági rést (CVE-2020-8625) küszöbölnek ki, amely potenciálisan távoli kódfuttatáshoz vezethet egy támadó által. Működő visszaélések nyomait még nem azonosították.
A problémát az SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mechanizmus megvalósításának hibája okozza, amely a GSSAPI-ban az ügyfél és a szerver által használt védelmi módszerek egyeztetésére szolgál. A GSSAPI-t magas szintű protokollként használják a biztonságos kulcscseréhez a dinamikus DNS-zónafrissítések hitelesítési folyamatában használt GSS-TSIG kiterjesztéssel.
A biztonsági rés a GSS-TSIG használatára konfigurált rendszereket érinti (például ha a tkey-gssapi-keytab és a tkey-gssapi-credential beállításokat használják). A GSS-TSIG-t általában vegyes környezetekben használják, ahol a BIND-t Active Directory tartományvezérlőkkel kombinálják, vagy ha a Sambával integrálják. Az alapértelmezett konfigurációban a GSS-TSIG le van tiltva.
A GSS-TSIG letiltását nem igénylő probléma blokkolásának egyik megoldása a BIND létrehozása az SPNEGO mechanizmus támogatása nélkül, amely letiltható a „--disable-isc-spnego” beállítás megadásával a „configure” parancsfájl futtatásakor. A probléma továbbra is megoldatlan a disztribúciókban. A frissítések elérhetőségét a következő oldalakon követheti nyomon: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Forrás: opennet.ru