avtoritativne posodobitve strežnika DNS v katerem štiri ranljivosti, od katerih bi lahko dve vodili do oddaljenega izvajanja kode s strani napadalca.
Ranljivosti CVE-2020-24696, CVE-2020-24697 in CVE-2020-24698
kodo z implementacijo mehanizma izmenjave ključev . Ranljivosti se pojavijo le, če je PowerDNS zgrajen s podporo za GSS-TSIG (»—enable-experimental-gss-tsig«, ni privzeto uporabljen) in jih je mogoče izkoristiti s pošiljanjem posebej oblikovanega omrežnega paketa. Pogoji tekmovanja in ranljivosti dvojne brezplačnosti CVE-2020-24696 in CVE-2020-24698 lahko povzročijo zrušitev ali izvedbo napadalčeve kode pri obdelavi zahtev z nepravilno oblikovanimi podpisi GSS-TSIG. Ranljivost CVE-2020-24697 je omejena na zavrnitev storitve. Ker koda GSS-TSIG ni bila privzeto uporabljena, tudi v distribucijskih paketih, in potencialno vsebuje druge težave, je bilo odločeno, da jo popolnoma odstranimo v izdaji PowerDNS Authoritative 4.4.0.
lahko povzroči uhajanje informacij iz neinicializiranega pomnilnika procesa, vendar se zgodi samo pri obdelavi zahtev overjenih uporabnikov, ki imajo možnost dodajanja novih zapisov v cone DNS, ki jih streže strežnik.
Vir: opennet.ru