Vulnerabilità nel server DNS BIND che consente l'esecuzione remota di codice

Sono stati pubblicati aggiornamenti correttivi per le versioni stabili del server DNS BIND 9.11.28 e 9.16.12, insieme a una versione sperimentale in fase di sviluppo, la 9.17.10. Nei nuovi rilasci è stata corretta una vulnerabilità (CVE-2020-8625) che provoca un overflow del buffer e potrebbe potenzialmente portare all'esecuzione remota di codice da parte di un attaccante. Finora non sono state trovate prove di exploit funzionanti.

Il problema è causato da un errore nell'implementazione del meccanismo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), utilizzato nel GSSAPI per il coordinamento dei metodi di protezione utilizzati dal client e server dei metodi di protezione. Il GSSAPI è utilizzato come protocollo di alto livello per lo scambio sicuro delle chiavi tramite l'estensione GSS-TSIG, impiegata durante il processo di autenticazione degli aggiornamenti dinamici delle zone DNS.

La vulnerabilità riguarda i sistemi la cui configurazione include l'uso di GSS-TSIG (ad esempio, se sono utilizzate le impostazioni tkey-gssapi-keytab e tkey-gssapi-credential). Il GSS-TSIG è generalmente utilizzato in ambienti misti in cui BIND viene combinato con controller di dominio Active Directory, o durante l'integrazione con Samba. Nella configurazione predefinita, GSS-TSIG è disabilitato.

Come soluzione alternativa per il problema di blocco, senza dover disabilitare GSS-TSIG, si chiama compilazione di BIND senza supporto per il meccanismo SPNEGO, che può essere disabilitato specificando l'opzione «—disable-isc-spnego» durante l'esecuzione dello script «configure». Nei pacchetti, il problema rimane ancora non risolto. È possibile monitorare l'emergere di aggiornamenti sulle seguenti pagine: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster