BIND DNS ಸರ್ವರ್ 9.11.28 ಮತ್ತು 9.16.12 ನ ಸ್ಥಿರ ಶಾಖೆಗಳಿಗೆ ಸರಿಪಡಿಸುವ ನವೀಕರಣಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಪ್ರಾಯೋಗಿಕ ಶಾಖೆ 9.17.10, ಇದು ಅಭಿವೃದ್ಧಿಯಲ್ಲಿದೆ. ಹೊಸ ಬಿಡುಗಡೆಗಳು ಬಫರ್ ಓವರ್ಫ್ಲೋ ದುರ್ಬಲತೆಯನ್ನು (CVE-2020-8625) ತಿಳಿಸುತ್ತವೆ, ಅದು ಆಕ್ರಮಣಕಾರರಿಂದ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ಗೆ ಕಾರಣವಾಗಬಹುದು. ದುಡಿಯುವ ಶೋಷಣೆಗಳ ಯಾವುದೇ ಕುರುಹುಗಳನ್ನು ಇನ್ನೂ ಗುರುತಿಸಲಾಗಿಲ್ಲ.
ಕ್ಲೈಂಟ್ ಬಳಸುವ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಮಾತುಕತೆ ಮಾಡಲು GSSAPI ನಲ್ಲಿ ಬಳಸಲಾಗುವ SPNEGO (ಸರಳ ಮತ್ತು ಸಂರಕ್ಷಿತ GSSAPI ನೆಗೋಷಿಯೇಶನ್ ಮೆಕ್ಯಾನಿಸಂ) ಕಾರ್ಯವಿಧಾನದ ಅನುಷ್ಠಾನದಲ್ಲಿನ ದೋಷದಿಂದ ಈ ಸಮಸ್ಯೆ ಉಂಟಾಗಿದೆ ಮತ್ತು ಸರ್ವರ್ ಭದ್ರತಾ ವಿಧಾನಗಳು. GSS-TSIG ವಿಸ್ತರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸುರಕ್ಷಿತ ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ GSSAPI ಅನ್ನು ಉನ್ನತ ಮಟ್ಟದ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಡೈನಾಮಿಕ್ DNS ವಲಯ ನವೀಕರಣಗಳ ದೃಢೀಕರಣವನ್ನು ಪರಿಶೀಲಿಸುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ.
GSS-TSIG ಸಕ್ರಿಯಗೊಳಿಸಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ದುರ್ಬಲತೆಯು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, tkey-gssapi-keytab ಮತ್ತು tkey-gssapi-ಕ್ರೆಡೆನ್ಶಿಯಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬಳಸಿದರೆ). GSS-TSIG ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಮಿಶ್ರ ಪರಿಸರದಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ, ಅಲ್ಲಿ BIND ಅನ್ನು ನಿಯಂತ್ರಕಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸಲಾಗುತ್ತದೆ. ಡೊಮೇನ್ ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ, ಅಥವಾ ಸಾಂಬಾ ಜೊತೆ ಸಂಯೋಜಿಸುವಾಗ. ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ, GSS-TSIG ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, ಫೆಡೋರಾ, ಆರ್ಚ್ Linux, FreeBSD, NetBSD.
ಮೂಲ: opennet.ru
