Հրապարակվել են ուղղիչ թարմացումներ BIND DNS սերվերի 9.11.28 և 9.16.12 կայուն մասնաճյուղերի, ինչպես նաև 9.17.10 փորձնական մասնաճյուղի համար, որը մշակման փուլում է։ Նոր թողարկումներն անդրադառնում են բուֆերային արտահոսքի խոցելիությանը (CVE-2020-8625), որը կարող է հանգեցնել հարձակվողի կողմից կոդի հեռավոր կատարման: Աշխատանքային շահագործման հետքեր դեռ չեն հայտնաբերվել։
Խնդիրն առաջացել է SPNEGO (Պարզ և պաշտպանված GSSAPI Negotiation Mechanism) մեխանիզմի ներդրման սխալի պատճառով, որն օգտագործվում է GSSAPI-ում՝ հաճախորդի և սերվերի կողմից օգտագործվող պաշտպանության մեթոդները բանակցելու համար: GSSAPI-ն օգտագործվում է որպես բարձր մակարդակի արձանագրություն անվտանգ բանալիների փոխանակման համար՝ օգտագործելով GSS-TSIG ընդլայնումը, որն օգտագործվում է դինամիկ DNS գոտու թարմացումների նույնականացման գործընթացում:
Խոցելիությունը ազդում է համակարգերի վրա, որոնք կազմաձևված են օգտագործելու GSS-TSIG (օրինակ, եթե օգտագործվում են tkey-gssapi-keytab և tkey-gssapi-հավատարմագրերի կարգավորումները): GSS-TSIG-ը սովորաբար օգտագործվում է խառը միջավայրերում, որտեղ BIND-ը համակցված է Active Directory տիրույթի կարգավորիչների հետ կամ երբ ինտեգրված է Samba-ի հետ: Լռելյայն կազմաձևում GSS-TSIG-ն անջատված է:
Խնդրի արգելափակման լուծումը, որը չի պահանջում անջատել GSS-TSIG-ը, BIND-ի ստեղծումն է՝ առանց SPNEGO մեխանիզմի աջակցության, որը կարող է անջատվել՝ նշելով «--disable-isc-spnego» տարբերակը «կարգավորել» սկրիպտը գործարկելիս: Խնդիրը բաշխումների մեջ մնում է չլուծված։ Դուք կարող եք հետևել թարմացումների հասանելիությանը հետևյալ էջերում՝ Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD:
Source: opennet.ru