nganyari server DNS kuoso ing papat kerentanan, loro sing bisa nyebabake eksekusi kode remot dening panyerang.
Kerentanan CVE-2020-24696, CVE-2020-24697 lan CVE-2020-24698
kode karo implementasine saka mekanisme exchange tombol . Kerentanan mung katon nalika PowerDNS dibangun kanthi dhukungan GSS-TSIG ("-enable-experimental-gss-tsig", ora digunakake kanthi standar) lan bisa dimanfaatake kanthi ngirim paket jaringan sing dirancang khusus. Kahanan balapan lan kerentanan gratis kaping pindho CVE-2020-24696 lan CVE-2020-24698 bisa nyebabake kacilakan utawa eksekusi kode panyerang nalika ngolah panjaluk nganggo tanda tangan GSS-TSIG sing salah format. Kerentanan CVE-2020-24697 diwatesi kanggo nolak layanan. Wiwit kode GSS-TSIG ora digunakake minangka standar, kalebu ing paket distribusi, lan duweni potensi ngandhut masalah liyane, iki mutusakΓ© kanggo mbusak rampung ing release saka PowerDNS wewenang 4.4.0.
bisa mimpin kanggo bocor informasi saka memori proses uninitialized, nanging mung occurs nalika Processing panjalukan saka kedhaftar asli sing duwe kemampuan kanggo nambah cathetan anyar kanggo zona DNS dilayani dening server.
Source: opennet.ru