அதிகாரப்பூர்வ DNS சர்வர் புதுப்பிப்புகள் இதில் நான்கு பாதிப்புகள், அவற்றில் இரண்டு தாக்குபவர்களால் தொலைநிலைக் குறியீடு செயல்படுத்தப்படுவதற்கு வழிவகுக்கும்.
பாதிப்புகள் CVE-2020-24696, CVE-2020-24697 மற்றும் CVE-2020-24698
முக்கிய பரிமாற்ற பொறிமுறையை செயல்படுத்தும் குறியீடு . பவர்டிஎன்எஸ் ஜிஎஸ்எஸ்-டிஎஸ்ஐஜி ஆதரவுடன் கட்டமைக்கப்பட்டால் மட்டுமே பாதிப்புகள் தோன்றும் (“-இயல்பு-பரிசோதனை-ஜிஎஸ்எஸ்-டிசிஜி”, இயல்பாகப் பயன்படுத்தப்படவில்லை) மேலும் சிறப்பாக வடிவமைக்கப்பட்ட நெட்வொர்க் பாக்கெட்டை அனுப்புவதன் மூலம் பயன்படுத்திக் கொள்ளலாம். பந்தய நிலைமைகள் மற்றும் இரட்டை-இலவச பாதிப்புகள் CVE-2020-24696 மற்றும் CVE-2020-24698 ஆகியவை தவறாக வடிவமைக்கப்பட்ட GSS-TSIG கையொப்பங்களுடன் கோரிக்கைகளைச் செயல்படுத்தும் போது செயலிழக்க அல்லது தாக்குபவர் குறியீட்டை செயல்படுத்தலாம். பாதிப்பு CVE-2020-24697 சேவை மறுப்புக்கு வரம்பிடப்பட்டுள்ளது. GSS-TSIG குறியீடு, விநியோகத் தொகுப்புகள் உட்பட, இயல்புநிலையாகப் பயன்படுத்தப்படவில்லை, மேலும் பிற சிக்கல்களைக் கொண்டிருக்கக்கூடும் என்பதால், PowerDNS அதிகாரப்பூர்வ 4.4.0 வெளியீட்டில் அதை முழுவதுமாக அகற்ற முடிவு செய்யப்பட்டது.
துவக்கப்படாத செயல்முறை நினைவகத்திலிருந்து தகவல் கசிவுக்கு வழிவகுக்கும், ஆனால் சேவையகத்தால் வழங்கப்படும் DNS மண்டலங்களில் புதிய பதிவுகளைச் சேர்க்கும் திறன் கொண்ட அங்கீகரிக்கப்பட்ட பயனர்களிடமிருந்து கோரிக்கைகளைச் செயலாக்கும்போது மட்டுமே இது நிகழ்கிறது.
ஆதாரம்: opennet.ru