Det er publisert korrigerende oppdateringer for de stabile grenene til BIND DNS-serveren 9.11.28 og 9.16.12, samt den eksperimentelle grenen 9.17.10, som er under utvikling. De nye utgivelsene adresserer et bufferoverløpssårbarhet (CVE-2020-8625) som potensielt kan føre til ekstern kjøring av kode av en angriper. Ingen spor etter arbeidsbedrifter er ennå identifisert.
Problemet er forårsaket av en feil i implementeringen av SPNEGO-mekanismen (Simple and Protected GSSAPI Negotiation Mechanism) som brukes i GSSAPI for å forhandle frem beskyttelsesmetodene som brukes av klienten og serveren. GSSAPI brukes som en høynivåprotokoll for sikker nøkkelutveksling ved å bruke GSS-TSIG-utvidelsen som brukes i prosessen med å autentisere dynamiske DNS-soneoppdateringer.
Sårbarheten påvirker systemer som er konfigurert til å bruke GSS-TSIG (for eksempel hvis innstillingene tkey-gssapi-keytab og tkey-gssapi-credential brukes). GSS-TSIG brukes vanligvis i blandede miljøer der BIND er kombinert med Active Directory-domenekontrollere, eller når det er integrert med Samba. I standardkonfigurasjonen er GSS-TSIG deaktivert.
En løsning for å blokkere problemet som ikke krever deaktivering av GSS-TSIG er å bygge BIND uten støtte for SPNEGO-mekanismen, som kan deaktiveres ved å spesifisere "--disable-isc-spnego"-alternativet når du kjører "configure"-skriptet. Problemet forblir uløst i distribusjoner. Du kan spore tilgjengeligheten av oppdateringer på følgende sider: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Kilde: opennet.ru