Objavljene so bile popravne posodobitve za stabilne veje strežnika BIND DNS 9.11.28 in 9.16.12 ter poskusno vejo 9.17.10, ki je v razvoju. Nove izdaje obravnavajo ranljivost prekoračitve medpomnilnika (CVE-2020-8625), ki bi lahko povzročila oddaljeno izvajanje kode s strani napadalca. Sledov delovnih podvigov še ni bilo ugotovljenih.
Težavo povzroča napaka pri izvajanju mehanizma SPNEGO (preprost in zaščiten mehanizem pogajanj GSSAPI), ki se uporablja v GSSAPI za pogajanja o zaščitnih metodah, ki jih uporabljata odjemalec in strežnik. GSSAPI se uporablja kot protokol na visoki ravni za varno izmenjavo ključev z uporabo razširitve GSS-TSIG, ki se uporablja v procesu preverjanja pristnosti dinamičnih posodobitev območja DNS.
Ranljivost vpliva na sisteme, ki so konfigurirani za uporabo GSS-TSIG (če se na primer uporabljajo nastavitve poverilnic tkey-gssapi-keytab in tkey-gssapi-credential). GSS-TSIG se običajno uporablja v mešanih okoljih, kjer je BIND kombiniran s krmilniki domene Active Directory ali če je integriran s Sambo. V privzeti konfiguraciji je GSS-TSIG onemogočen.
Rešitev za blokiranje težave, ki ne zahteva onemogočanja GSS-TSIG, je izdelava BIND brez podpore za mehanizem SPNEGO, ki ga je mogoče onemogočiti tako, da podate možnost »--disable-isc-spnego«, ko zaženete skript »configure«. Težava ostaja neodpravljena v distribucijah. Razpoložljivost posodobitev lahko spremljate na naslednjih straneh: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Vir: opennet.ru