BIND DNS सर्व्हरमधील भेद्यता जी रिमोट कोडची अंमलबजावणी वगळत नाही

BIND DNS सर्व्हर 9.11.28 आणि 9.16.12 च्या स्थिर शाखांसाठी, तसेच प्रायोगिक शाखा 9.17.10 साठी सुधारात्मक अद्यतने प्रकाशित केली गेली आहेत, जी विकासात आहे. नवीन प्रकाशन बफर ओव्हरफ्लो असुरक्षा (CVE-2020-8625) ला संबोधित करतात ज्यामुळे आक्रमणकर्त्याद्वारे रिमोट कोडची अंमलबजावणी होऊ शकते. कार्यरत शोषणाच्या कोणत्याही खुणा अद्याप ओळखल्या गेल्या नाहीत.

क्लायंट आणि सर्व्हरद्वारे वापरल्या जाणार्‍या संरक्षण पद्धतींवर बोलणी करण्यासाठी GSSAPI मध्ये वापरल्या जाणार्‍या SPNEGO (सिंपल अँड प्रोटेक्टेड GSSAPI निगोशिएशन मेकॅनिझम) च्या अंमलबजावणीतील त्रुटीमुळे समस्या उद्भवली आहे. डायनॅमिक DNS झोन अपडेट्स ऑथेंटिकेट करण्याच्या प्रक्रियेत वापरल्या जाणार्‍या GSS-TSIG विस्ताराचा वापर करून सुरक्षित की एक्सचेंजसाठी GSSAPI चा उच्च-स्तरीय प्रोटोकॉल म्हणून वापर केला जातो.

असुरक्षा GSS-TSIG वापरण्यासाठी कॉन्फिगर केलेल्या प्रणालींवर परिणाम करते (उदाहरणार्थ, tkey-gssapi-keytab आणि tkey-gssapi-क्रेडेन्शियल सेटिंग्ज वापरल्यास). GSS-TSIG सामान्यत: मिश्र वातावरणात वापरले जाते जेथे BIND सक्रिय निर्देशिका डोमेन नियंत्रकांसह एकत्रित केले जाते, किंवा जेव्हा सांबासह एकत्रित केले जाते. डीफॉल्ट कॉन्फिगरेशनमध्ये, GSS-TSIG अक्षम केले आहे.

GSS-TSIG अक्षम करण्‍याची आवश्‍यकता नसलेली समस्‍या अवरोधित करण्‍याचा उपाय म्हणजे SPNEGO मेकॅनिझमच्‍या समर्थनाशिवाय BIND तयार करण्‍याचा, जो "--disable-isc-spnego" पर्याय निर्दिष्‍ट करून "कॉन्फिगर" स्क्रिप्ट चालवताना अक्षम केला जाऊ शकतो. वितरणामध्ये समस्या कायम आहे. तुम्ही खालील पानांवर अपडेट्सच्या उपलब्धतेचा मागोवा घेऊ शकता: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.

स्त्रोत: opennet.ru