autoritatīvi DNS servera atjauninājumi kurā četras ievainojamības, no kurām divas, iespējams, var izraisīt uzbrucēja attālinātu koda izpildi.
Ievainojamības CVE-2020-24696, CVE-2020-24697 un CVE-2020-24698
kodu ar atslēgu apmaiņas mehānisma ieviešanu . Ievainojamības parādās tikai tad, ja PowerDNS ir izveidots ar GSS-TSIG atbalstu (“—enable-experimental-gss-tsig”, netiek izmantots pēc noklusējuma), un tās var izmantot, nosūtot īpaši izstrādātu tīkla paketi. Sacensību apstākļi un dubultā ievainojamība CVE-2020-24696 un CVE-2020-24698 var izraisīt avāriju vai uzbrucēja koda izpildi, apstrādājot pieprasījumus ar nepareizi formatētiem GSS-TSIG parakstiem. Ievainojamība CVE-2020-24697 attiecas tikai uz pakalpojuma atteikumu. Tā kā GSS-TSIG kods pēc noklusējuma netika izmantots, tostarp izplatīšanas pakotnēs, un, iespējams, satur citas problēmas, PowerDNS Authoritative 4.4.0 izlaidumā tika nolemts to pilnībā noņemt.
var izraisīt informācijas noplūdi no neinicializētas procesa atmiņas, bet tas notiek tikai tad, kad tiek apstrādāti pieprasījumi no autentificētiem lietotājiem, kuriem ir iespēja pievienot jaunus ierakstus servera apkalpotajām DNS zonām.
Avots: opennet.ru