Korrekturaktualiséierunge goufen fir déi stabile Filialen vum BIND DNS Server 9.11.28 an 9.16.12 publizéiert, souwéi déi experimentell Branche 9.17.10, déi an der Entwécklung ass. Déi nei Verëffentlechungen adresséieren eng Puffer Iwwerfloss Schwachstelle (CVE-2020-8625) déi potenziell zur Remote Code Ausféierung vun engem Ugräifer féieren kann. Keng Spuere vun Aarbechtsexploiten sinn nach identifizéiert ginn.
De Problem gëtt duerch e Feeler bei der Ëmsetzung vum SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) Mechanismus verursaacht, deen an GSSAPI benotzt gëtt fir d'Schutzmethoden ze verhandelen, déi vum Client a Server benotzt ginn. GSSAPI gëtt als High-Level Protokoll fir sécher Schlësselaustausch benotzt mat der GSS-TSIG Extensioun, déi am Prozess vun der Authentifikatioun vun dynamesche DNS Zoneupdates benotzt gëtt.
D'Vulnerabilitéit beaflosst Systemer déi konfiguréiert sinn fir GSS-TSIG ze benotzen (zum Beispill wann d'tkey-gssapi-keytab an tkey-gssapi-Umeldungsinstellunge benotzt ginn). GSS-TSIG gëtt typesch a gemëschten Ëmfeld benotzt, wou BIND mat Active Directory Domain Controller kombinéiert ass, oder wann se mat Samba integréiert sinn. An der Standardkonfiguratioun ass GSS-TSIG deaktivéiert.
Eng Léisung fir de Problem ze blockéieren deen net deaktivéiere GSS-TSIG erfuerdert ass BIND ze bauen ouni Ënnerstëtzung fir de SPNEGO Mechanismus, dee kann ausgeschalt ginn andeems Dir d'Optioun "--disable-isc-spnego" spezifizéiert wann Dir de "configuréieren" Skript leeft. De Problem bleift unfixed an Distributiounen. Dir kënnt d'Disponibilitéit vun Updates op de folgende Säiten verfollegen: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Source: opennet.ru