përditësime autoritative të serverit DNS në të cilën katër dobësi, dy prej të cilave potencialisht mund të çojnë në ekzekutimin e kodit në distancë nga një sulmues.
Dobësitë CVE-2020-24696, CVE-2020-24697 dhe CVE-2020-24698
kod me zbatimin e mekanizmit të shkëmbimit të çelësave . Dobësitë shfaqen vetëm kur PowerDNS ndërtohet me mbështetje GSS-TSIG (“—enable-experimental-gss-tsig”, nuk përdoret si parazgjedhje) dhe mund të shfrytëzohen duke dërguar një paketë rrjeti të krijuar posaçërisht. Kushtet e garës dhe dobësitë pa dyfishtë CVE-2020-24696 dhe CVE-2020-24698 mund të çojnë në prishje ose ekzekutim të kodit të sulmuesit kur përpunohen kërkesat me nënshkrime GSS-TSIG të formatuar gabimisht. Dobësia CVE-2020-24697 është e kufizuar në mohimin e shërbimit. Meqenëse kodi GSS-TSIG nuk përdorej si parazgjedhje, duke përfshirë në paketat e shpërndarjes, dhe potencialisht përmban probleme të tjera, u vendos që të hiqej plotësisht në lëshimin e PowerDNS Autoritative 4.4.0.
mund të çojë në rrjedhje informacioni nga memoria e procesit të pa inicializuar, por ndodh vetëm kur përpunohen kërkesat nga përdoruesit e vërtetuar që kanë aftësinë për të shtuar regjistrime të reja në zonat DNS të shërbyera nga serveri.
Burimi: opennet.ru