Izdane so bile popravne posodobitve za stabilne veje strežnika BIND DNS, 9.11.28 in 9.16.12, ter za eksperimentalno vejo 9.17.10, ki je trenutno v razvoju. Te nove izdaje odpravljajo ranljivost prelivanja medpomnilnika (CVE-2020-8625), ki bi lahko vodila do oddaljenega izvajanja kode. Zaenkrat še niso bile odkrite delujoče ranljivosti.
Težavo povzroča napaka pri implementaciji mehanizma SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), ki se uporablja v GSSAPI za pogajanja o protokolih, ki jih uporablja odjemalec in strežnik Varnostne metode. GSSAPI se uporablja kot protokol visoke ravni za varno izmenjavo ključev z uporabo razširitve GSS-TSIG, ki se uporablja pri preverjanju pristnosti dinamičnih posodobitev con DNS.
Ranljivost vpliva na sisteme, konfigurirane z omogočenim GSS-TSIG (na primer, če se uporabljajo nastavitve tkey-gssapi-keytab in tkey-gssapi-credential). GSS-TSIG se običajno uporablja v mešanih okoljih, kjer je BIND kombiniran s krmilniki. domena Active Directory ali pri integraciji s Sambo. V privzeti konfiguraciji je GSS-TSIG onemogočen.
Rešitev, ki ne zahteva onemogočanja GSS-TSIG, je gradnja BIND brez podpore za SPNEGO, ki jo je mogoče onemogočiti z določitvijo možnosti »--disable-isc-spnego« pri izvajanju skripta »configure«. Težava v distribucijah ostaja neodpravljena. Posodobitve lahko spremljate na naslednjih straneh: Debian, RHEL, SUSE, Ubuntu, Fedora, Lok Linux, FreeBSD, NetBSD.
Vir: opennet.ru
