Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено.
Ko te raruraru i puta mai i te hapa i roto i te whakatinanatanga o te SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) i whakamahia i roto i te GSSAPI ki te whiriwhiringa i nga tikanga tiaki e whakamahia ana e te kiritaki me te tūmau. Ka whakamahia te GSSAPI hei kawa taumata-tiketike mo te whakawhitinga matua haumaru ma te whakamahi i te toronga GSS-TSIG i whakamahia i roto i te tukanga o te whakamotuhēhēnga whakahōutanga rohe DNS hihiri.
Ko te whakaraeraetanga ka pa ki nga punaha kua whirihorahia ki te whakamahi i te GSS-TSIG (hei tauira, mena ka whakamahia te tkey-gssapi-keytab me te tkey-gssapi-credential settings). Ko te GSS-TSIG te nuinga o te whakamahi i roto i nga taiao whakauru e hono ana a BIND me nga kaiwhakahaere rohe Active Directory, i te wa e whakauruhia ana ki a Samba. I te whirihoranga taunoa, kua monoa te GSS-TSIG.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Source: opennet.ru