Au fost publicate actualizări corective pentru ramurile stabile ale serverului BIND DNS 9.11.28 și 9.16.12, precum și ramura experimentală 9.17.10, care este în dezvoltare. Noile versiuni abordează o vulnerabilitate de depășire a memoriei tampon (CVE-2020-8625) care ar putea duce la execuția de cod de la distanță de către un atacator. Nu au fost identificate încă urme de exploatare de lucru.
Problema este cauzată de o eroare în implementarea mecanismului SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) utilizat în GSSAPI pentru a negocia metodele de protecție utilizate de client și server. GSSAPI este utilizat ca protocol de nivel înalt pentru schimbul securizat de chei folosind extensia GSS-TSIG utilizată în procesul de autentificare a actualizărilor dinamice ale zonei DNS.
Vulnerabilitatea afectează sistemele care sunt configurate să utilizeze GSS-TSIG (de exemplu, dacă sunt utilizate setările tkey-gssapi-keytab și tkey-gssapi-credential). GSS-TSIG este utilizat de obicei în medii mixte în care BIND este combinat cu controlere de domeniu Active Directory sau când este integrat cu Samba. În configurația implicită, GSS-TSIG este dezactivat.
O soluție pentru blocarea problemei care nu necesită dezactivarea GSS-TSIG este să construiți BIND fără suport pentru mecanismul SPNEGO, care poate fi dezactivat prin specificarea opțiunii „--disable-isc-spnego” atunci când rulați scriptul „configure”. Problema rămâne nerezolvată în distribuții. Puteți urmări disponibilitatea actualizărilor pe următoarele pagini: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Sursa: opennet.ru