Kemas kini pembetulan telah diterbitkan untuk cawangan stabil pelayan DNS BIND 9.11.28 dan 9.16.12, serta cawangan percubaan 9.17.10, yang sedang dibangunkan. Keluaran baharu menangani kerentanan limpahan penimbal (CVE-2020-8625) yang berpotensi membawa kepada pelaksanaan kod jauh oleh penyerang. Tiada kesan eksploitasi kerja telah dikenal pasti.
Masalah ini berpunca daripada ralat dalam pelaksanaan mekanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) yang digunakan dalam GSSAPI untuk merundingkan kaedah perlindungan yang digunakan oleh klien dan pelayan. GSSAPI digunakan sebagai protokol peringkat tinggi untuk pertukaran kunci selamat menggunakan sambungan GSS-TSIG yang digunakan dalam proses mengesahkan kemas kini zon DNS dinamik.
Kerentanan mempengaruhi sistem yang dikonfigurasikan untuk menggunakan GSS-TSIG (contohnya, jika tetapan tkey-gssapi-keytab dan tkey-gssapi-credential tetapan digunakan). GSS-TSIG biasanya digunakan dalam persekitaran bercampur yang BIND digabungkan dengan pengawal domain Active Directory, atau apabila disepadukan dengan Samba. Dalam konfigurasi lalai, GSS-TSIG dinyahdayakan.
Penyelesaian untuk menyekat masalah yang tidak memerlukan pelumpuhan GSS-TSIG ialah membina BIND tanpa sokongan untuk mekanisme SPNEGO, yang boleh dilumpuhkan dengan menentukan pilihan "--disable-isc-spnego" semasa menjalankan skrip "configure". Masalahnya masih belum selesai dalam pengedaran. Anda boleh menjejaki ketersediaan kemas kini pada halaman berikut: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Sumber: opennet.ru