Masasisho ya kurekebisha yamechapishwa kwa matawi thabiti ya seva ya BIND DNS 9.11.28 na 9.16.12, pamoja na tawi la majaribio 9.17.10, ambalo linatengenezwa. Matoleo mapya yanashughulikia uwezekano wa kuathiriwa na bafa (CVE-2020-8625) ambayo inaweza kusababisha utekelezaji wa msimbo wa mbali na mvamizi. Hakuna athari za ushujaa wa kufanya kazi bado zimetambuliwa.
Tatizo linasababishwa na hitilafu katika utekelezaji wa utaratibu wa SPNEGO (Mfumo Rahisi na Uliyolindwa wa GSSAPI) unaotumiwa katika GSSAPI kujadili mbinu za ulinzi zinazotumiwa na mteja na seva. GSSAPI inatumika kama itifaki ya kiwango cha juu ya kubadilishana vitufe salama kwa kutumia kiendelezi cha GSS-TSIG kinachotumika katika mchakato wa kuthibitisha masasisho ya eneo la DNS yanayobadilika.
Athari huathiri mifumo ambayo imesanidiwa kutumia GSS-TSIG (kwa mfano, ikiwa tkey-gssapi-keytab na mipangilio ya kitambulisho ya tkey-gssapi inatumika). GSS-TSIG kwa kawaida hutumiwa katika mazingira mchanganyiko ambapo BIND huunganishwa na vidhibiti vya Active Directory, au inapounganishwa na Samba. Katika usanidi chaguo-msingi, GSS-TSIG imezimwa.
Njia ya kuzuia tatizo ambayo haihitaji kulemaza GSS-TSIG ni kuunda BIND bila usaidizi wa utaratibu wa SPNEGO, ambao unaweza kuzimwa kwa kubainisha chaguo la "--disable-isc-spnego" wakati wa kuendesha hati ya "sanidi". Tatizo bado halijatatuliwa katika usambazaji. Unaweza kufuatilia upatikanaji wa masasisho kwenye kurasa zifuatazo: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Chanzo: opennet.ru