masasisho ya seva ya DNS yanayoidhinishwa ambayo athari nne, mbili kati yake zinaweza kusababisha utekelezaji wa msimbo wa mbali na mshambulizi.
Udhaifu CVE-2020-24696, CVE-2020-24697 na CVE-2020-24698
kanuni na utekelezaji wa utaratibu muhimu wa kubadilishana . Udhaifu huonekana tu wakati PowerDNS imeundwa kwa usaidizi wa GSS-TSIG (ββenable-experimental-gss-tsigβ, haitumiki kwa chaguo-msingi) na inaweza kutumiwa vibaya kwa kutuma pakiti ya mtandao iliyoundwa mahususi. Masharti ya mbio na udhaifu usiolipishwa mara mbili wa CVE-2020-24696 na CVE-2020-24698 unaweza kusababisha kuacha kufanya kazi au kutekeleza msimbo wa mshambulizi wakati wa kushughulikia maombi kwa saini za GSS-TSIG zilizofomatiwa vibaya. Athari ya CVE-2020-24697 ni ya kunyimwa huduma pekee. Kwa kuwa msimbo wa GSS-TSIG haukutumiwa kwa chaguo-msingi, ikiwa ni pamoja na katika vifurushi vya usambazaji, na uwezekano wa kuwa na matatizo mengine, iliamua kuiondoa kabisa katika kutolewa kwa PowerDNS Authoritative 4.4.0.
inaweza kusababisha kuvuja kwa taarifa kutoka kwa kumbukumbu ya mchakato ambayo haijaanzishwa, lakini hutokea tu wakati maombi ya usindikaji kutoka kwa watumiaji walioidhinishwa ambao wana uwezo wa kuongeza rekodi mpya kwenye kanda za DNS zinazohudumiwa na seva.
Chanzo: opennet.ru