Atualizações corretivas foram publicadas para as ramificações estáveis do servidor DNS BIND 9.11.28 e 9.16.12, bem como para a ramificação experimental 9.17.10, que está em desenvolvimento. As novas versões abordam uma vulnerabilidade de buffer overflow (CVE-2020-8625) que pode levar à execução remota de código por um invasor. Nenhum vestígio de explorações funcionais ainda foi identificado.
O problema é causado por um erro na implementação do mecanismo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) utilizado no GSSAPI para negociar os métodos de proteção utilizados pelo cliente e servidor. GSSAPI é usado como um protocolo de alto nível para troca segura de chaves usando a extensão GSS-TSIG usada no processo de autenticação de atualizações dinâmicas de zona DNS.
A vulnerabilidade afeta sistemas configurados para usar GSS-TSIG (por exemplo, se as configurações tkey-gssapi-keytab e tkey-gssapi-credential forem usadas). O GSS-TSIG é normalmente usado em ambientes mistos onde o BIND é combinado com controladores de domínio do Active Directory ou quando integrado ao Samba. Na configuração padrão, o GSS-TSIG está desabilitado.
Uma solução alternativa para bloquear o problema que não requer a desativação do GSS-TSIG é construir o BIND sem suporte para o mecanismo SPNEGO, que pode ser desativado especificando a opção “--disable-isc-spnego” ao executar o script “configure”. O problema permanece sem solução nas distribuições. Você pode acompanhar a disponibilidade de atualizações nas seguintes páginas: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Fonte: opennet.ru