Opravné aktualizácie boli zverejnené pre stabilné vetvy servera BIND DNS 9.11.28 a 9.16.12, ako aj pre experimentálnu vetvu 9.17.10, ktorá je vo vývoji. Nové vydania riešia zraniteľnosť pretečenia vyrovnávacej pamäte (CVE-2020-8625), ktorá by mohla potenciálne viesť k vzdialenému spusteniu kódu útočníkom. Zatiaľ neboli identifikované žiadne stopy pracovných vykorisťovaní.
Problém je spôsobený chybou v implementácii mechanizmu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) používaného v GSSAPI na dohodnutie metód ochrany používaných klientom a serverom. GSSAPI sa používa ako vysokoúrovňový protokol na zabezpečenú výmenu kľúčov pomocou rozšírenia GSS-TSIG používaného v procese overovania dynamických aktualizácií zón DNS.
Zraniteľnosť ovplyvňuje systémy, ktoré sú nakonfigurované na používanie GSS-TSIG (napríklad ak sa používajú nastavenia poverení tkey-gssapi-keytab a tkey-gssapi). GSS-TSIG sa zvyčajne používa v zmiešaných prostrediach, kde je BIND kombinovaný s radičmi domény Active Directory, alebo keď je integrovaný so Sambou. V predvolenej konfigurácii je GSS-TSIG vypnutý.
Alternatívnym riešením na zablokovanie problému, ktoré si nevyžaduje zakázanie GSS-TSIG, je zostavenie BIND bez podpory mechanizmu SPNEGO, ktorý možno deaktivovať zadaním možnosti „--disable-isc-spnego“ pri spustení skriptu „configure“. Problém zostáva nevyriešený v distribúciách. Dostupnosť aktualizácií môžete sledovať na nasledujúcich stránkach: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Zdroj: opennet.ru