Pembaruan korektif telah diterbitkan untuk cabang stabil server DNS BIND 9.11.28 dan 9.16.12, serta cabang eksperimental 9.17.10, yang sedang dalam pengembangan. Rilis baru ini mengatasi kerentanan buffer overflow (CVE-2020-8625) yang berpotensi menyebabkan eksekusi kode jarak jauh oleh penyerang. Belum ada jejak eksploitasi yang berhasil diidentifikasi.
Permasalahan tersebut disebabkan oleh kesalahan implementasi mekanisme SPNEGO (Mekanisme Negosiasi GSSAPI Sederhana dan Terlindungi) yang digunakan di GSSAPI untuk menegosiasikan metode perlindungan yang digunakan oleh klien dan server. GSSAPI digunakan sebagai protokol tingkat tinggi untuk pertukaran kunci yang aman menggunakan ekstensi GSS-TSIG yang digunakan dalam proses autentikasi pembaruan zona DNS dinamis.
Kerentanan ini memengaruhi sistem yang dikonfigurasi untuk menggunakan GSS-TSIG (misalnya, jika setelan tkey-gssapi-keytab dan tkey-gssapi-credential digunakan). GSS-TSIG biasanya digunakan di lingkungan campuran tempat BIND digabungkan dengan pengontrol domain Direktori Aktif, atau saat terintegrasi dengan Samba. Dalam konfigurasi default, GSS-TSIG dinonaktifkan.
Solusi untuk memblokir masalah yang tidak memerlukan penonaktifan GSS-TSIG adalah dengan membuat BIND tanpa dukungan untuk mekanisme SPNEGO, yang dapat dinonaktifkan dengan menentukan opsi β--disable-isc-spnegoβ saat menjalankan skrip βconfigureβ. Masalahnya masih belum terselesaikan dalam distribusi. Anda dapat melacak ketersediaan pembaruan di halaman berikut: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Sumber: opennet.ru