Opublikowano aktualizacje korygujące dla stabilnych gałęzi serwera DNS BIND 9.11.28 i 9.16.12, a także gałęzi eksperymentalnej 9.17.10, która jest w fazie rozwoju. Nowe wersje usuwają lukę w zabezpieczeniach związaną z przepełnieniem bufora (CVE-2020-8625), która może potencjalnie prowadzić do zdalnego wykonania kodu przez osobę atakującą. Nie zidentyfikowano jeszcze żadnych śladów działających exploitów.
Problem wynika z błędu w implementacji mechanizmu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) wykorzystywanego w GSSAPI do negocjowania metod ochrony stosowanych przez klienta i serwer. GSSAPI służy jako protokół wysokiego poziomu do bezpiecznej wymiany kluczy z wykorzystaniem rozszerzenia GSS-TSIG wykorzystywanego w procesie uwierzytelniania aktualizacji dynamicznych stref DNS.
Luka dotyczy systemów skonfigurowanych do korzystania z GSS-TSIG (na przykład, jeśli używane są ustawienia tkey-gssapi-keytab i tkey-gssapi-credential). GSS-TSIG jest zwykle używany w środowiskach mieszanych, gdzie BIND jest połączony z kontrolerami domeny Active Directory lub gdy jest zintegrowany z Sambą. W konfiguracji domyślnej funkcja GSS-TSIG jest wyłączona.
Obejściem problemu, który nie wymaga wyłączania GSS-TSIG, jest zbudowanie BIND-a bez obsługi mechanizmu SPNEGO, który można wyłączyć, podając opcję „--disable-isc-spnego” podczas uruchamiania skryptu „configure”. Problem pozostaje nierozwiązany w dystrybucjach. Dostępność aktualizacji możesz śledzić na następujących stronach: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Źródło: opennet.ru