BIND DNS सर्भरमा जोखिम जसले रिमोट कोड कार्यान्वयनलाई बहिष्कार गर्दैन

BIND DNS सर्भर 9.11.28 र 9.16.12 को स्थिर शाखाहरू, साथै प्रयोगात्मक शाखा 9.17.10 को लागि सुधारात्मक अद्यावधिकहरू प्रकाशित गरिएको छ, जुन विकासमा छ। नयाँ रिलीजहरूले बफर ओभरफ्लो जोखिम (CVE-2020-8625) लाई सम्बोधन गर्दछ जसले सम्भावित रूपमा आक्रमणकर्ताद्वारा रिमोट कोड कार्यान्वयन गर्न सक्छ। काम गर्ने शोषणको कुनै निशान अझै पहिचान गरिएको छैन।

ग्राहक र सर्भर द्वारा प्रयोग गरिएको सुरक्षा विधिहरू वार्ता गर्न GSSAPI मा प्रयोग गरिएको SPNEGO (सरल र सुरक्षित GSSAPI वार्ता संयन्त्र) को कार्यान्वयनमा त्रुटिको कारणले गर्दा समस्या भएको हो। GSSAPI लाई गतिशील DNS क्षेत्र अद्यावधिकहरू प्रमाणीकरण गर्ने प्रक्रियामा प्रयोग गरिएको GSS-TSIG विस्तार प्रयोग गरी सुरक्षित कुञ्जी आदानप्रदानको लागि उच्च-स्तरीय प्रोटोकलको रूपमा प्रयोग गरिन्छ।

कमजोरीले प्रणालीहरूलाई असर गर्छ जुन GSS-TSIG प्रयोग गर्न कन्फिगर गरिएको छ (उदाहरणका लागि, यदि tkey-gssapi-keytab र tkey-gssapi-क्रेडेन्सियल सेटिङहरू प्रयोग गरिन्छ)। GSS-TSIG सामान्यतया मिश्रित वातावरणहरूमा प्रयोग गरिन्छ जहाँ BIND लाई सक्रिय निर्देशिका डोमेन नियन्त्रकहरूसँग जोडिएको हुन्छ, वा जब साम्बासँग एकीकृत हुन्छ। पूर्वनिर्धारित कन्फिगरेसनमा, GSS-TSIG असक्षम गरिएको छ।

GSS-TSIG असक्षम गर्न आवश्यक नपर्ने समस्यालाई रोक्नको लागि समाधान भनेको SPNEGO मेकानिजमको लागि समर्थन बिना BIND निर्माण गर्नु हो, जुन "कन्फिगर" स्क्रिप्ट चलाउँदा "--disable-isc-spnego" विकल्प निर्दिष्ट गरेर असक्षम गर्न सकिन्छ। वितरणमा समस्या यथावत छ। तपाईंले निम्न पृष्ठहरूमा अद्यावधिकहरूको उपलब्धता ट्र्याक गर्न सक्नुहुन्छ: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD।

स्रोत: opennet.ru