BIND DNS servera stabilajām versijām 9.11.28 un 9.16.12, kā arī eksperimentālajai versijai 9.17.10, kas pašlaik tiek izstrādāta, ir izlaisti korektīvi atjauninājumi. Šie jaunie laidieni novērš bufera pārpildes ievainojamību (CVE-2020-8625), kas varētu izraisīt attālinātu koda izpildi. Pagaidām nav identificēti funkcionējoši izmantošanas veidi.
Problēmu rada kļūda SPNEGO (vienkāršā un aizsargātā GSSAPI sarunu mehānisma) ieviešanā, ko GSSAPI izmanto, lai vienotos par klienta izmantotajiem protokoliem. serveris Drošības metodes. GSSAPI tiek izmantots kā augsta līmeņa protokols drošai atslēgu apmaiņai, izmantojot GSS-TSIG paplašinājumu, kas tiek izmantots dinamisko DNS zonas atjauninājumu autentiskuma pārbaudes procesā.
Šī ievainojamība ietekmē sistēmas, kas konfigurētas ar iespējotu GSS-TSIG (piemēram, ja tiek izmantoti iestatījumi tkey-gssapi-keytab un tkey-gssapi-credential). GSS-TSIG parasti tiek izmantots jauktās vidēs, kur BIND tiek apvienots ar kontrolleriem. domēns Active Directory vai integrējoties ar Samba. Noklusējuma konfigurācijā GSS-TSIG ir atspējots.
Risinājums, kas neprasa GSS-TSIG atspējošanu, ir veidot BIND bez SPNEGO atbalsta, ko var atspējot, norādot opciju "--disable-isc-spnego", palaižot skriptu "configure". Problēma joprojām nav novērsta distribūcijās. Atjauninājumus varat izsekot šajās lapās: Debian, RHEL, SUSE, Ubuntu, Fedora, Arka Linux, FreeBSD, NetBSD.
Avots: opennet.ru
