Pembaruan korektif parantos dileupaskeun pikeun cabang stabil tina server BIND DNS, 9.11.28 sareng 9.16.12, ogé cabang ékspérimén 9.17.10, anu ayeuna nuju dikembangkeun. Kaluaran anyar ieu ngalereskeun kerentanan buffer overflow (CVE-2020-8625) anu berpotensi ngakibatkeun palaksanaan kode jauh. Henteu aya garapan damel anu parantos diidentifikasi.
Masalahna disababkeun ku kasalahan dina palaksanaan mékanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) anu dianggo dina GSSAPI pikeun negosiasi protokol anu dianggo ku klien sareng server Métode kaamanan. GSSAPI dianggo salaku protokol tingkat luhur pikeun silih tukeur konci anu aman nganggo éksténsi GSS-TSIG, anu dianggo dina prosés verifikasi auténtikasi apdet zona DNS dinamis.
Kerentanan ieu mangaruhan sistem anu dikonfigurasi nganggo GSS-TSIG anu diaktipkeun (contona, upami setélan tkey-gssapi-keytab sareng tkey-gssapi-credential dianggo). GSS-TSIG biasana dianggo dina lingkungan campuran dimana BIND digabungkeun sareng pangontrol. domain Active Directory, atanapi nalika ngahijikeun sareng Samba. Dina konfigurasi standar, GSS-TSIG ditumpurkeun.
Hiji cara pikeun ngungkulan masalah anu teu merlukeun mareuman GSS-TSIG nyaéta ku cara ngawangun BIND tanpa dukungan pikeun SPNEGO, anu tiasa dinonaktipkeun ku cara nangtukeun pilihan "--disable-isc-spnego" nalika ngajalankeun skrip "configure". Masalahna tetep teu acan direngsekeun dina distribusi. Anjeun tiasa ngalacak apdet dina halaman-halaman ieu: Debian, RHEL, SUSE, Ubuntu, Fedora, Lengkungan Linux, FreeBSD, NetBSD.
sumber: opennet.ru
