BIND DNS సర్వర్ 9.11.28 మరియు 9.16.12, అలాగే అభివృద్ధిలో ఉన్న ప్రయోగాత్మక బ్రాంచ్ 9.17.10 యొక్క స్థిరమైన శాఖల కోసం దిద్దుబాటు నవీకరణలు ప్రచురించబడ్డాయి. కొత్త విడుదలలు బఫర్ ఓవర్ఫ్లో వల్నరబిలిటీని (CVE-2020-8625) పరిష్కరిస్తాయి, ఇది దాడి చేసే వ్యక్తి రిమోట్ కోడ్ అమలుకు దారితీయవచ్చు. పని దోపిడీల జాడలు ఇంకా గుర్తించబడలేదు.
క్లయింట్ మరియు సర్వర్ ఉపయోగించే రక్షణ పద్ధతులను చర్చించడానికి GSSAPIలో ఉపయోగించే SPNEGO (సింపుల్ అండ్ ప్రొటెక్టెడ్ GSSAPI నెగోషియేషన్ మెకానిజం) మెకానిజం అమలులో లోపం కారణంగా సమస్య ఏర్పడింది. డైనమిక్ DNS జోన్ నవీకరణలను ప్రామాణీకరించే ప్రక్రియలో ఉపయోగించే GSS-TSIG పొడిగింపును ఉపయోగించి సురక్షిత కీ మార్పిడి కోసం GSSAPI ఉన్నత-స్థాయి ప్రోటోకాల్గా ఉపయోగించబడుతుంది.
GSS-TSIG (ఉదాహరణకు, tkey-gssapi-keytab మరియు tkey-gssapi-క్రెడెన్షియల్ సెట్టింగ్లు ఉపయోగించినట్లయితే) ఉపయోగించడానికి కాన్ఫిగర్ చేయబడిన సిస్టమ్లను దుర్బలత్వం ప్రభావితం చేస్తుంది. GSS-TSIG సాధారణంగా మిశ్రమ వాతావరణంలో ఉపయోగించబడుతుంది, ఇక్కడ BIND యాక్టివ్ డైరెక్టరీ డొమైన్ కంట్రోలర్లతో కలిపి లేదా సాంబాతో అనుసంధానించబడినప్పుడు. డిఫాల్ట్ కాన్ఫిగరేషన్లో, GSS-TSIG నిలిపివేయబడింది.
GSS-TSIGని నిలిపివేయాల్సిన అవసరం లేని సమస్యను నిరోధించడానికి ఒక ప్రత్యామ్నాయం SPNEGO మెకానిజమ్కు మద్దతు లేకుండా BINDని రూపొందించడం, ఇది “కాన్ఫిగర్” స్క్రిప్ట్ను అమలు చేస్తున్నప్పుడు “--disable-isc-spnego” ఎంపికను పేర్కొనడం ద్వారా నిలిపివేయబడుతుంది. పంపిణీలో సమస్య పరిష్కరించబడలేదు. మీరు క్రింది పేజీలలో నవీకరణల లభ్యతను ట్రాక్ చేయవచ్చు: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
మూలం: opennet.ru