Er zijn corrigerende updates gepubliceerd voor de stabiele takken van de BIND DNS-server 9.11.28 en 9.16.12, evenals voor de experimentele tak 9.17.10, die in ontwikkeling is. De nieuwe releases verhelpen een bufferoverflow-kwetsbaarheid (CVE-2020-8625) die mogelijk kan leiden tot uitvoering van externe code door een aanvaller. Er zijn nog geen sporen van werkende exploits geïdentificeerd.
Het probleem wordt veroorzaakt door een fout in de implementatie van het SPNEGO-mechanisme (Simple and Protected GSSAPI Negotiation Mechanism) dat in GSSAPI wordt gebruikt om te onderhandelen over de beveiligingsmethoden die door de client en de server worden gebruikt. GSSAPI wordt gebruikt als een protocol op hoog niveau voor veilige sleuteluitwisseling met behulp van de GSS-TSIG-extensie die wordt gebruikt bij het authenticeren van dynamische DNS-zone-updates.
Het beveiligingslek treft systemen die zijn geconfigureerd om GSS-TSIG te gebruiken (bijvoorbeeld als de instellingen tkey-gssapi-keytab en tkey-gssapi-credential worden gebruikt). GSS-TSIG wordt doorgaans gebruikt in gemengde omgevingen waar BIND wordt gecombineerd met Active Directory-domeincontrollers, of wanneer geïntegreerd met Samba. In de standaardconfiguratie is GSS-TSIG uitgeschakeld.
Een oplossing voor het blokkeren van het probleem waarvoor GSS-TSIG niet hoeft te worden uitgeschakeld, is door BIND te bouwen zonder ondersteuning voor het SPNEGO-mechanisme, dat kan worden uitgeschakeld door de optie “--disable-isc-spnego” op te geven bij het uitvoeren van het script “configure”. Het probleem blijft onopgelost in distributies. U kunt de beschikbaarheid van updates volgen op de volgende pagina's: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Bron: opennet.ru