BIND DNS серверинин 9.11.28 жана 9.16.12 туруктуу бутактары, ошондой эле иштеп жаткан 9.17.10 эксперименталдык бутагы үчүн түзөтүүчү жаңыртуулар жарыяланды. Жаңы релиздер чабуулчу тарабынан коддун алыстан аткарылышына алып келиши мүмкүн болгон буфердин толуп кеткен аялуулугун (CVE-2020-8625) карайт. Иштеп жаткан эрдиктердин изи азырынча аныктала элек.
Көйгөй GSSAPIде кардар жана сервер колдонгон коргоо ыкмаларын сүйлөшүү үчүн колдонулган SPNEGO (Жөнөкөй жана корголгон GSSAPI сүйлөшүү механизми) механизмин ишке ашыруудагы катадан келип чыккан. GSSAPI динамикалык DNS аймагынын жаңыртууларынын аутентификация процессинде колдонулган GSS-TSIG кеңейтүүсүн колдонуу менен коопсуз ачкыч алмашуу үчүн жогорку деңгээлдеги протокол катары колдонулат.
Алсыздык GSS-TSIG колдонууга конфигурацияланган системаларга таасирин тийгизет (мисалы, tkey-gssapi-keytab жана tkey-gssapi-каттоо маалыматынын жөндөөлөрү колдонулса). GSS-TSIG адатта BIND Active Directory домен контроллерлору менен айкалышкан аралаш чөйрөдө же Samba менен интеграцияланганда колдонулат. Демейки конфигурацияда GSS-TSIG өчүрүлгөн.
GSS-TSIGди өчүрүүнү талап кылбаган көйгөйдү бөгөттөө үчүн убактылуу чечим SPNEGO механизмин колдоосуз BINDди куруу болуп саналат, аны "конфигурациялоо" скриптин иштетүүдө "--disable-isc-spnego" опциясын көрсөтүү менен өчүрүүгө болот. Проблема бөлүштүрүүдө чечилбеген бойдон калууда. Жаңыртуулардын болушуна төмөнкү баракчалардан көз салсаңыз болот: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Source: opennet.ru