Објавени се корективни ажурирања за стабилните гранки на BIND DNS серверот 9.11.28 и 9.16.12, како и за експерименталната гранка 9.17.10, која е во развој. Новите изданија се однесуваат на ранливоста на прелевање на баферот (CVE-2020-8625) што потенцијално може да доведе до далечинско извршување на код од напаѓач. Се уште не се идентификувани траги од работен подвиг.
Проблемот е предизвикан од грешка во имплементацијата на механизмот SPNEGO (Едноставен и заштитен GSSAPI Negotiation Mechanism) што се користи во GSSAPI за преговарање за методите за заштита што ги користат клиентот и серверот. GSSAPI се користи како протокол на високо ниво за сигурна размена на клучеви со користење на наставката GSS-TSIG што се користи во процесот на автентикација на ажурирања на динамичната DNS зона.
Ранливоста влијае на системите што се конфигурирани да користат GSS-TSIG (на пример, ако се користат поставките tkey-gssapi-keytab и tkey-gssapi-credential). GSS-TSIG обично се користи во мешани средини каде што BIND се комбинира со контролери на домен на Active Directory или кога е интегриран со Samba. Во стандардната конфигурација, GSS-TSIG е оневозможен.
Решението за блокирање на проблемот што не бара оневозможување на GSS-TSIG е да се изгради BIND без поддршка за механизмот SPNEGO, кој може да се оневозможи со наведување на опцијата „--disable-isc-spnego“ кога се извршува скриптата „конфигурирај“. Проблемот останува нерешен во дистрибуциите. Можете да ја следите достапноста на ажурирањата на следните страници: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Извор: opennet.ru