Pembaruan korektif parantos diterbitkeun pikeun cabang stabil tina server BIND DNS 9.11.28 sareng 9.16.12, ogé cabang ékspérimén 9.17.10, anu aya dina pangwangunan. Kaluaran anyar alamat kerentanan buffer overflow (CVE-2020-8625) anu berpotensi ngakibatkeun palaksanaan kode jauh ku panyerang. Henteu aya jejak eksploitasi anu tiasa diidentifikasi.
Masalahna disababkeun ku kasalahan dina palaksanaan mékanisme SPNEGO (Basajan jeung Ditangtayungan GSSAPI Negotiation) mékanisme dipaké dina GSSAPI pikeun negotiate métode panyalindungan dipaké ku klien tur server. GSSAPI dipaké salaku protokol tingkat luhur pikeun bursa konci aman ngagunakeun extension GSS-TSIG dipaké dina prosés auténtikasi apdet zona DNS dinamis.
Kerentanan mangaruhan sistem anu dikonpigurasi nganggo GSS-TSIG (Contona, upami tkey-gssapi-keytab sareng tkey-gssapi-credential setting dianggo). GSS-TSIG ilaharna dipaké dina lingkungan campuran mana BIND digabungkeun jeung Active Directory controller domain, atawa lamun terpadu jeung Samba. Dina konfigurasi standar, GSS-TSIG ditumpurkeun.
A workaround pikeun meungpeuk masalah anu teu merlukeun nganonaktipkeun GSS-TSIG nyaéta ngawangun meungkeut tanpa rojongan pikeun mékanisme SPNEGO, nu bisa ditumpurkeun ku nangtukeun pilihan "--disable-isc-spnego" nalika ngajalankeun "konpigurasikeun" Aksara. Masalahna tetep teu beres dina distribusi. Anjeun tiasa ngalacak kasadiaan apdet dina halaman ieu: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
sumber: opennet.ru