BIND DNS серверінің 9.11.28 және 9.16.12 тұрақты тармақтары, сондай-ақ әзірлену үстіндегі 9.17.10 эксперименттік тармағы үшін түзетуші жаңартулар жарияланды. Жаңа шығарылымдар шабуылдаушының қашықтан кодты орындауына әкелуі мүмкін буфердің толып кету осалдығын (CVE-2020-8625) қарастырады. Әзірге жұмыс ерліктерінің іздері анықталған жоқ.
Мәселе клиент пен сервер пайдаланатын қорғау әдістерін келісу үшін GSSAPI жүйесінде қолданылатын SPNEGO (қарапайым және қорғалған GSSAPI келіссөз механизмі) механизмін жүзеге асырудағы қатеден туындады. GSSAPI динамикалық DNS аймағының жаңартуларын аутентификациялау процесінде пайдаланылатын GSS-TSIG кеңейтімін пайдаланып қауіпсіз кілт алмасу үшін жоғары деңгейлі протокол ретінде пайдаланылады.
Осалдық GSS-TSIG пайдалану үшін конфигурацияланған жүйелерге әсер етеді (мысалы, tkey-gssapi-keytab және tkey-gssapi-тіркелгі деректері параметрлері пайдаланылса). GSS-TSIG әдетте BIND Active Directory домен контроллерімен біріктірілген аралас орталарда немесе Samba бағдарламасымен біріктірілген кезде пайдаланылады. Әдепкі конфигурацияда GSS-TSIG өшірілген.
GSS-TSIG өшіруді қажет етпейтін мәселені бұғаттаудың уақытша шешімі «конфигурациялау» сценарийін іске қосқан кезде «--disable-isc-spnego» опциясын көрсету арқылы өшіруге болатын SPNEGO механизмін қолдаусыз BIND құру болып табылады. Мәселе дистрибутивтерде шешілмеген күйінде қалады. Жаңартулардың қолжетімділігін келесі беттерде бақылай аласыз: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Ақпарат көзі: opennet.ru