opinberar uppfærslur á DNS netþjóni þar sem fjórir veikleikar, þar af tveir sem gætu hugsanlega leitt til þess að árásarmaður keyrir kóða fjarstýrð.
Veikleikar CVE-2020-24696, CVE-2020-24697 og CVE-2020-24698
kóða með innleiðingu lyklaskiptakerfisins . Veikleikarnir birtast aðeins þegar PowerDNS er byggt með GSS-TSIG stuðningi ("—enable-experimental-gss-tsig", ekki notað sjálfgefið) og hægt er að nýta sér það með því að senda sérhannaðan netpakka. Kappakstursaðstæður og tvífrjáls veikleiki CVE-2020-24696 og CVE-2020-24698 geta leitt til hruns eða keyrslu á árásarkóða þegar unnið er úr beiðnum með rangt sniðnar GSS-TSIG undirskriftir. Varnarleysið CVE-2020-24697 takmarkast við afneitun á þjónustu. Þar sem GSS-TSIG kóðinn var ekki notaður sjálfgefið, þar á meðal í dreifingarpökkum, og mögulega inniheldur önnur vandamál, var ákveðið að fjarlægja hann algjörlega í útgáfu PowerDNS Authoritative 4.4.0.
getur leitt til upplýsingaleka úr óstartað ferli minni, en á sér aðeins stað þegar unnið er úr beiðnum frá auðkenndum notendum sem hafa getu til að bæta nýjum færslum við DNS svæði sem þjónað er af þjóninum.
Heimild: opennet.ru