修正アップデートは、BIND DNS サーバーの安定ブランチ 9.11.28 および 9.16.12、および開発中の実験ブランチ 9.17.10 に対して公開されました。新しいリリースでは、攻撃者によるリモート コード実行につながる可能性があるバッファ オーバーフローの脆弱性 (CVE-2020-8625) に対処しています。エクスプロイトが機能した痕跡はまだ特定されていません。
この問題は、クライアントとサーバーが使用する保護方式をネゴシエートするために GSSAPI で使用される SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) メカニズムの実装におけるエラーが原因で発生します。 GSSAPI は、動的 DNS ゾーン更新の認証プロセスで使用される GSS-TSIG 拡張機能を使用した安全なキー交換のための高レベル プロトコルとして使用されます。
この脆弱性は、GSS-TSIG を使用するように構成されているシステム (たとえば、tkey-gssapi-keytab および tkey-gssapi-credential 設定が使用されている場合) に影響します。 GSS-TSIG は通常、BIND が Active Directory ドメイン コントローラーと組み合わされる混合環境、または Samba と統合される場合に使用されます。デフォルト設定では、GSS-TSIG は無効になっています。
GSS-TSIG を無効にする必要がない問題をブロックする回避策は、SPNEGO メカニズムをサポートせずに BIND を構築することです。これは、「configure」スクリプトの実行時に「--disable-isc-spnego」オプションを指定することで無効にできます。この問題はディストリビューションでも未修正のままです。次のページでアップデートの入手可能性を追跡できます: Debian、RHEL、SUSE、Ubuntu、Fedora、Arch Linux、FreeBSD、NetBSD。
出所: オープンネット.ru