Sono stati pubblicati aggiornamenti correttivi per i rami stabili del server DNS BIND 9.11.28 e 9.16.12, nonché per il ramo sperimentale 9.17.10, che è in fase di sviluppo. Le nuove versioni risolvono una vulnerabilità di buffer overflow (CVE-2020-8625) che potrebbe potenzialmente portare all'esecuzione di codice in modalità remota da parte di un utente malintenzionato. Non sono state ancora individuate tracce di exploit lavorativi.
Il problema è causato da un errore nell'implementazione del meccanismo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) utilizzato in GSSAPI per negoziare i metodi di protezione utilizzati dal client e dal server. GSSAPI viene utilizzato come protocollo di alto livello per lo scambio sicuro di chiavi utilizzando l'estensione GSS-TSIG utilizzata nel processo di autenticazione degli aggiornamenti della zona DNS dinamica.
La vulnerabilità colpisce i sistemi configurati per utilizzare GSS-TSIG (ad esempio, se vengono utilizzate le impostazioni tkey-gssapi-keytab e tkey-gssapi-credential). GSS-TSIG viene generalmente utilizzato in ambienti misti in cui BIND è combinato con i controller di dominio Active Directory o quando integrato con Samba. Nella configurazione predefinita, GSS-TSIG è disabilitato.
Una soluzione alternativa per bloccare il problema che non richiede la disabilitazione di GSS-TSIG è creare BIND senza supporto per il meccanismo SPNEGO, che può essere disabilitato specificando l'opzione "--disable-isc-spnego" durante l'esecuzione dello script "configure". Il problema rimane irrisolto nelle distribuzioni. Puoi monitorare la disponibilità degli aggiornamenti nelle seguenti pagine: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Fonte: opennet.ru