Leiðréttingaruppfærslur hafa verið birtar fyrir stöðugar greinar BIND DNS netþjónsins 9.11.28 og 9.16.12, auk tilraunaútibúsins 9.17.10, sem er í þróun. Nýju útgáfurnar taka á veikleika fyrir yfirflæði biðminni (CVE-2020-8625) sem gæti hugsanlega leitt til þess að árásarmaður keyrir kóða fjarstýrð. Engin ummerki um vinnuafrek hafa enn fundist.
Vandamálið stafar af villu í innleiðingu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) vélbúnaðarins sem notaður er í GSSAPI til að semja um verndaraðferðirnar sem viðskiptavinurinn og þjónninn notar. GSSAPI er notað sem samskiptareglur á háu stigi fyrir örugga lyklaskipti með því að nota GSS-TSIG viðbótina sem notuð er í því ferli að auðkenna kraftmikla DNS svæðisuppfærslur.
Varnarleysið hefur áhrif á kerfi sem eru stillt til að nota GSS-TSIG (til dæmis ef stillingarnar tkey-gssapi-keytab og tkey-gssapi-credential eru notaðar). GSS-TSIG er venjulega notað í blönduðu umhverfi þar sem BIND er sameinað Active Directory lénsstýringum, eða þegar það er samþætt við Samba. Í sjálfgefna stillingu er GSS-TSIG óvirkt.
Lausn til að loka á vandamálið sem krefst þess að slökkva ekki á GSS-TSIG er að búa til BIND án stuðnings fyrir SPNEGO vélbúnaðinn, sem hægt er að slökkva á með því að tilgreina „--disable-isc-spnego“ valmöguleikann þegar „configure“ forskriftin er keyrð. Vandamálið er enn óleyst í dreifingum. Þú getur fylgst með framboði uppfærslur á eftirfarandi síðum: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Heimild: opennet.ru