aġġornamenti awtorevoli tas-server DNS , F'liema erba 'vulnerabbiltajiet, li tnejn minnhom jistgħu potenzjalment iwasslu għal eżekuzzjoni remota ta' kodiċi minn attakkant.
Vulnerabbiltajiet CVE-2020-24696, CVE-2020-24697 u CVE-2020-24698
kodiċi bl-implimentazzjoni tal-mekkaniżmu ta 'skambju taċ-ċavetta . Il-vulnerabbiltajiet jidhru biss meta PowerDNS jinbena b'appoġġ GSS-TSIG ("—enable-experimental-gss-tsig", mhux użat b'mod awtomatiku) u jista 'jiġi sfruttat billi jintbagħat pakkett tan-netwerk iddisinjat apposta. Il-kundizzjonijiet tat-tellieqa u l-vulnerabbiltajiet mingħajr doppju CVE-2020-24696 u CVE-2020-24698 jistgħu jwasslu għal ħabta jew eżekuzzjoni ta’ kodiċi tal-attakkant meta jiġu pproċessati talbiet b’firem GSS-TSIG ifformattjati ħażin. Il-vulnerabbiltà CVE-2020-24697 hija limitata għaċ-ċaħda tas-servizz. Peress li l-kodiċi GSS-TSIG ma ntużax awtomatikament, inkluż f'pakketti ta 'distribuzzjoni, u potenzjalment fih problemi oħra, ġie deċiż li jitneħħa kompletament fir-rilaxx ta' PowerDNS Authoritative 4.4.0.
jista 'jwassal għal tnixxija ta' informazzjoni mill-memorja tal-proċess mhux inizjali, iżda sseħħ biss meta jiġu pproċessati talbiet minn utenti awtentikati li għandhom il-kapaċità li jżidu rekords ġodda fiż-żoni DNS moqdija mis-server.
Sors: opennet.ru