Ir publicēti koriģējošie atjauninājumi BIND DNS servera stabilajām zarām 9.11.28 un 9.16.12, kā arī eksperimentālajai filiālei 9.17.10, kas atrodas izstrādes stadijā. Jaunie laidieni novērš bufera pārpildes ievainojamību (CVE-2020-8625), kas, iespējams, var izraisīt uzbrucēja attālu koda izpildi. Pagaidām nav konstatētas nekādas darba ekspluatācijas pēdas.
Problēmu izraisa kļūda SPNEGO (Vienkāršā un aizsargātā GSSAPI sarunu mehānisma) mehānisma ieviešanā, ko izmanto GSSAPI, lai vienotos par klienta un servera izmantotajām aizsardzības metodēm. GSSAPI tiek izmantots kā augsta līmeņa protokols drošai atslēgu apmaiņai, izmantojot GSS-TSIG paplašinājumu, ko izmanto dinamisko DNS zonas atjauninājumu autentifikācijas procesā.
Ievainojamība ietekmē sistēmas, kas ir konfigurētas GSS-TSIG lietošanai (piemēram, ja tiek izmantoti tkey-gssapi-keytab un tkey-gssapi-credential iestatījumi). GSS-TSIG parasti tiek izmantots jauktā vidē, kur BIND tiek apvienots ar Active Directory domēna kontrolleriem, vai ja tas ir integrēts ar Samba. Noklusējuma konfigurācijā GSS-TSIG ir atspējota.
Risinājums, lai bloķētu problēmu, kurai nav jāatspējo GSS-TSIG, ir izveidot BIND bez atbalsta SPNEGO mehānismam, ko var atspējot, norādot opciju “--disable-isc-spnego”, palaižot skriptu “configure”. Izplatījumos problēma joprojām nav novērsta. Jūs varat izsekot atjauninājumu pieejamībai šādās lapās: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Avots: opennet.ru