BIND DNS серверинин 9.11.28 жана 9.16.12 туруктуу бутактары, ошондой эле иштеп жаткан 9.17.10 эксперименталдык бутагы үчүн түзөтүүчү жаңыртуулар жарыяланды. Жаңы релиздер чабуулчу тарабынан коддун алыстан аткарылышына алып келиши мүмкүн болгон буфердин толуп кеткен аялуулугун (CVE-2020-8625) карайт. Иштеп жаткан эрдиктердин изи азырынча аныктала элек.
Көйгөй кардар тарабынан колдонулган протоколдорду сүйлөшүү үчүн GSSAPIде колдонулган SPNEGO (Жөнөкөй жана корголгон GSSAPI сүйлөшүү механизми) механизмин ишке ашыруудагы катадан келип чыккан. сервер Коопсуздук ыкмалары. GSSAPI динамикалык DNS зонасынын жаңыртууларынын аныктыгын текшерүү процессинде колдонулган GSS-TSIG кеңейтүүсүн колдонуу менен коопсуз ачкыч алмашуу үчүн жогорку деңгээлдеги протокол катары колдонулат.
Бул аялуулук GSS-TSIG иштетилген конфигурацияланган системаларга таасир этет (мисалы, эгерде tkey-gssapi-keytab жана tkey-gssapi-credential жөндөөлөрү колдонулса). GSS-TSIG адатта BIND контроллерлор менен айкалышкан аралаш чөйрөлөрдө колдонулат. домен Active Directory же Samba менен интеграцияланганда. Демейки конфигурацияда GSS-TSIG өчүрүлгөн.
GSS-TSIGди өчүрүүнү талап кылбаган айланма жол - SPNEGOну колдобостон BIND түзүү, аны "configure" скриптин иштетип жатканда "--disable-isc-spnego" опциясын көрсөтүү менен өчүрүүгө болот. Көйгөй дистрибутивдерде чечиле элек. Жаңыртууларды төмөнкү баракчалардан көзөмөлдөй аласыз: Debian, RHEL, SUSE, Ubuntu, Федора, Арка Linux, FreeBSD, NetBSD.
Source: opennet.ru
