Korrigerande uppdateringar har publicerats för de stabila grenarna av BIND DNS-servern 9.11.28 och 9.16.12, samt den experimentella grenen 9.17.10, som för närvarande är under utveckling. De nya utgåvorna åtgärdar en sårbarhet (CVE-2020-8625) som leder till ett buffertöverflöde och potentiellt kan leda till fjärrkörning av kod. Inga spår av fungerande exploits har ännu hittats.
Problemet orsakas av ett fel i implementeringen av SPNEGO-mekanismen (Simple and Protected GSSAPI Negotiation Mechanism) som används i GSSAPI för att förhandla om de protokoll som används av klienten och server Säkerhetsmetoder. GSSAPI används som ett högnivåprotokoll för säkert nyckelutbyte med hjälp av GSS-TSIG-tillägget, vilket används i processen att verifiera äktheten hos dynamiska DNS-zonuppdateringar.
Sårbarheten påverkar system konfigurerade med GSS-TSIG aktiverat (till exempel om inställningarna tkey-gssapi-keytab och tkey-gssapi-credential används). GSS-TSIG används vanligtvis i blandade miljöer där BIND kombineras med styrenheter. domän Active Directory, eller vid integration med Samba. I standardkonfigurationen är GSS-TSIG inaktiverat.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Båge Linux, FreeBSD, NetBSD.
Källa: opennet.ru
