Korrekturaktualiséierunge goufen fir déi stabile Filialen vum BIND DNS Server 9.11.28 an 9.16.12 publizéiert, souwéi déi experimentell Branche 9.17.10, déi an der Entwécklung ass. Déi nei Verëffentlechungen adresséieren eng Puffer Iwwerfloss Schwachstelle (CVE-2020-8625) déi potenziell zur Remote Code Ausféierung vun engem Ugräifer féieren kann. Keng Spuere vun Aarbechtsexploiten sinn nach identifizéiert ginn.
De Problem gëtt duerch e Feeler an der Implementatioun vum SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) Mechanismus verursaacht, deen am GSSAPI benotzt gëtt fir d'Protokoller vum Client ze verhandelen an ... Server Sécherheetsmethoden. GSSAPI gëtt als High-Level-Protokoll fir e séchere Schlësselaustausch mat Hëllef vun der GSS-TSIG-Erweiderung benotzt, déi beim Prozess vun der Iwwerpréiwung vun der Authentizitéit vun dynameschen DNS-Zonenupdates benotzt gëtt.
D'Schwachstelle betrëfft Systemer, déi mat aktivéiertem GSS-TSIG konfiguréiert sinn (zum Beispill, wann d'Astellungen tkey-gssapi-keytab an tkey-gssapi-credential benotzt ginn). GSS-TSIG gëtt typescherweis a gemëschten Ëmfeld benotzt, wou BIND mat Controller kombinéiert gëtt. Domain Active Directory, oder wann Dir mat Samba integréiert. An der Standardkonfiguratioun ass GSS-TSIG deaktivéiert.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Béi Linux, FreeBSD, NetBSD.
Source: opennet.ru
