Ġew ippubblikati aġġornamenti korrettivi għall-fergħat stabbli tas-server BIND DNS 9.11.28 u 9.16.12, kif ukoll il-fergħa sperimentali 9.17.10, li tinsab fl-iżvilupp. Ir-rilaxxi l-ġodda jindirizzaw vulnerabbiltà tal-buffer overflow (CVE-2020-8625) li potenzjalment tista' twassal għal eżekuzzjoni remota ta' kodiċi minn attakkant. L-ebda traċċi ta' sfruttamenti tax-xogħol għadhom ma ġew identifikati.
Il-problema hija kkawżata minn żball fl-implimentazzjoni tal-mekkaniżmu SPNEGO (Mekkaniżmu ta 'Negozjar GSSAPI Sempliċi u Protet) użat f'GSSAPI biex jinnegozjaw il-metodi ta' protezzjoni użati mill-klijent u s-server. GSSAPI jintuża bħala protokoll ta 'livell għoli għal skambju sikur taċ-ċavetta bl-użu tal-estensjoni GSS-TSIG użata fil-proċess ta' awtentikazzjoni tal-aġġornamenti dinamiċi taż-żona DNS.
Il-vulnerabbiltà taffettwa sistemi li huma kkonfigurati biex jużaw GSS-TSIG (pereżempju, jekk jintużaw is-settings tkey-gssapi-keytab u tkey-gssapi-credential). GSS-TSIG huwa tipikament użat f'ambjenti mħallta fejn BIND huwa kkombinat ma 'kontrolluri ta' domain Active Directory, jew meta integrat ma 'Samba. Fil-konfigurazzjoni default, GSS-TSIG huwa diżattivat.
Soluzzjoni għall-imblukkar tal-problema li ma teħtieġx id-diżattivazzjoni tal-GSS-TSIG hija li tinbena BIND mingħajr appoġġ għall-mekkaniżmu SPNEGO, li jista 'jiġi diżattivat billi tispeċifika l-għażla "--disable-isc-spnego" meta taħdem l-iskrittura "konfigura". Il-problema tibqa' mhux iffissata fid-distribuzzjonijiet. Tista 'ssegwi d-disponibbiltà tal-aġġornamenti fil-paġni li ġejjin: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Sors: opennet.ru