PowerDNS Authoritative ဆာဗာရှိ အားနည်းချက်များ

ရရှိနိုင် တရားဝင် DNS ဆာဗာ အပ်ဒိတ်များ PowerDNS Authoritative ဆာဗာ 4.3.1၊ 4.2.3 နှင့် 4.1.14သော ဖယ်ထုတ်ထားသည်။ အားနည်းချက်လေးခု၊ ၎င်းတို့ထဲမှ နှစ်ခုသည် တိုက်ခိုက်သူမှ အဝေးထိန်းကုဒ်ကို အကောင်အထည်ဖော်ရန် ဦးတည်သွားနိုင်သည်။

အားနည်းချက်များ CVE-2020-24696၊ CVE-2020-24697 နှင့် CVE-2020-24698
ထိခိုက်သည်။ သော့လဲလှယ်ယန္တရား၏အကောင်အထည်ဖော်မှုနှင့်အတူ code GSS-TSIG. PowerDNS ကို GSS-TSIG ပံ့ပိုးမှုဖြင့် (“—enable-experimental-gss-tsig”၊ မူရင်းအတိုင်း အသုံးမပြုဘဲ) နှင့် အထူးဒီဇိုင်းထုတ်ထားသော ကွန်ရက်ပက်ကတ်ကို ပေးပို့ခြင်းဖြင့် အားနည်းချက်များကို အသုံးချနိုင်သည်။ ပြိုင်ပွဲအခြေအနေများနှင့် နှစ်ဆကင်းသော အားနည်းချက်များ CVE-2020-24696 နှင့် CVE-2020-24698 တို့သည် ဖော်မတ်ပုံစံမှားယွင်းစွာပြုလုပ်ထားသော GSS-TSIG လက်မှတ်များဖြင့် တောင်းဆိုမှုများကို လုပ်ဆောင်သည့်အခါ တိုက်ခိုက်သူကုဒ်၏ ပျက်စီးမှု သို့မဟုတ် အကောင်အထည်ဖော်မှုကို ဖြစ်ပေါ်စေနိုင်သည်။ အားနည်းချက် CVE-2020-24697 သည် ဝန်ဆောင်မှုကို ငြင်းပယ်ရန်အတွက် ကန့်သတ်ထားသည်။ GSS-TSIG ကုဒ်ကို ဖြန့်ဖြူးမှု ပက်ကေ့ဂျ်များတွင် အပါအဝင် မူရင်းအားဖြင့် အသုံးမပြုဘဲ အခြားပြဿနာများပါ၀င်သောကြောင့်၊ PowerDNS Authoritative 4.4.0 ထုတ်ဝေမှုတွင် ၎င်းအား လုံးလုံးဖယ်ရှားရန် ဆုံးဖြတ်ခဲ့သည်။

CVE-2020-17482 မလုပ်ဆောင်ရသေးသော လုပ်ငန်းစဉ်မှတ်ဉာဏ်မှ အချက်အလက်များ ယိုစိမ့်မှုဆီသို့ ဦးတည်သွားနိုင်သည်၊ သို့သော် ဆာဗာမှ ဝန်ဆောင်မှုပေးသော DNS ဇုန်များသို့ မှတ်တမ်းအသစ်များထည့်နိုင်စွမ်းရှိသည့် စစ်မှန်ကြောင်းအသုံးပြုသူများထံမှ တောင်းဆိုချက်များကို လုပ်ဆောင်သည့်အခါမှသာ ဖြစ်ပေါ်ပါသည်။

source: opennet.ru