авторитеттүү DNS сервер жаңыртуулары кайсы төрт аялуу, алардын экөө чабуулчу тарабынан коддун алыстан аткарылышына алып келиши мүмкүн.
CVE-2020-24696, CVE-2020-24697 жана CVE-2020-24698 кемчиликтери
ачкыч алмашуу механизмин ишке ашыруу менен код . Алсыздыктар PowerDNS GSS-TSIG колдоосу менен курулганда гана пайда болот (“—enable-experimental-gss-tsig”, демейки боюнча колдонулбайт) жана атайын иштелип чыккан тармак пакетин жөнөтүү аркылуу пайдаланылышы мүмкүн. Жарыш шарттары жана кош-эркин аялуу CVE-2020-24696 жана CVE-2020-24698 туура эмес форматталган GSS-TSIG кол тамгалары менен суроо-талаптарды иштеп чыгууда чабуулчу кодунун бузулушуна же аткарылышына алып келиши мүмкүн. CVE-2020-24697 аялуулугу кызмат көрсөтүүдөн баш тартуу менен чектелген. GSS-TSIG коду демейки боюнча, анын ичинде бөлүштүрүү пакеттеринде колдонулбагандыктан жана башка көйгөйлөрдү камтыгандыктан, аны PowerDNS Authoritative 4.4.0 релизинде толугу менен алып салуу чечими кабыл алынды.
инициализацияланбаган процесс эс тутумунан маалыматтын агып кетишине алып келиши мүмкүн, бирок сервер тейлеген DNS зоналарына жаңы жазууларды кошууга мүмкүнчүлүгү бар аутентификацияланган колдонуучулардын суроо-талаптарын иштеп чыгууда гана пайда болот.
Source: opennet.ru