🥇 PowerDNS आधिकारिक सर्भरमा कमजोरीहरू

उपलब्ध छ आधिकारिक DNS सर्भर अद्यावधिकहरू PowerDNS आधिकारिक सर्भर 4.3.1, 4.2.3 र 4.1.14, जुनमा हटाइयो चार भेद्यताहरू, जसमध्ये दुई सम्भावित रूपमा आक्रमणकारीद्वारा रिमोट कोड कार्यान्वयनमा जान सक्छ।

कमजोरीहरू CVE-2020-24696, CVE-2020-24697 र CVE-2020-24698
असर गर्छ कुञ्जी विनिमय संयन्त्रको कार्यान्वयनको साथ कोड GSS-TSIG। कमजोरीहरू तब मात्र देखा पर्दछ जब PowerDNS GSS-TSIG समर्थन (“—enable-experimental-gss-tsig”, पूर्वनिर्धारित रूपमा प्रयोग नगरिएको) संग निर्मित हुन्छ र विशेष रूपमा डिजाइन गरिएको नेटवर्क प्याकेट पठाएर शोषण गर्न सकिन्छ। दौड अवस्थाहरू र डबल-फ्री जोखिमहरू CVE-2020-24696 र CVE-2020-24698 ले क्र्यास वा आक्रमणकर्ता कोडको कार्यान्वयन गर्न सक्छ जब गलत ढाँचा गरिएको GSS-TSIG हस्ताक्षरहरूसँग अनुरोधहरू प्रशोधन गर्दछ। जोखिम CVE-2020-24697 सेवा अस्वीकार गर्न सीमित छ। GSS-TSIG कोड वितरण प्याकेजहरू लगायत पूर्वनिर्धारित रूपमा प्रयोग नगरिएको हुनाले, र सम्भावित रूपमा अन्य समस्याहरू समावेश भएकोले, PowerDNS आधिकारिक 4.4.0 को रिलीजमा यसलाई पूर्ण रूपमा हटाउने निर्णय गरियो।

CVE-2020-17482 अप्रारम्भिक प्रक्रिया मेमोरीबाट जानकारी चुहावट निम्त्याउन सक्छ, तर सर्भरद्वारा सेवा प्रदान गरिएका DNS क्षेत्रहरूमा नयाँ रेकर्डहरू थप्ने क्षमता भएका प्रमाणीकृत प्रयोगकर्ताहरूबाट अनुरोधहरू प्रशोधन गर्दा मात्र हुन्छ।

स्रोत: opennet.ru

PowerDNS आधिकारिक सर्भरमा कमजोरीहरू

एक टिप्पणी थप्न Отменить ответ