PowerDNS అధీకృత సర్వర్‌లో దుర్బలత్వాలు

అందుబాటులో ఉంది అధికారిక DNS సర్వర్ నవీకరణలు PowerDNS అధీకృత సర్వర్ 4.3.1, 4.2.3 మరియు 4.1.14దీనిలో తొలగించబడింది నాలుగు దుర్బలత్వాలు, వాటిలో రెండు దాడి చేసే వ్యక్తి రిమోట్ కోడ్ అమలుకు దారితీయవచ్చు.

దుర్బలత్వాలు CVE-2020-24696, CVE-2020-24697 మరియు CVE-2020-24698
ప్రభావితం చేస్తాయి కీ మార్పిడి విధానం అమలుతో కోడ్ GSS-TSIG. PowerDNS GSS-TSIG మద్దతుతో నిర్మించబడినప్పుడు మాత్రమే దుర్బలత్వాలు కనిపిస్తాయి (“—ఎనేబుల్-ప్రయోగాత్మక-gss-tsig”, డిఫాల్ట్‌గా ఉపయోగించబడదు) మరియు ప్రత్యేకంగా రూపొందించిన నెట్‌వర్క్ ప్యాకెట్‌ను పంపడం ద్వారా దోపిడీ చేయవచ్చు. రేస్ పరిస్థితులు మరియు డబుల్-ఫ్రీ దుర్బలత్వాలు CVE-2020-24696 మరియు CVE-2020-24698 తప్పుగా ఫార్మాట్ చేయబడిన GSS-TSIG సంతకాలతో అభ్యర్థనలను ప్రాసెస్ చేస్తున్నప్పుడు దాడి చేసే వ్యక్తి కోడ్ క్రాష్ లేదా అమలుకు దారితీయవచ్చు. దుర్బలత్వం CVE-2020-24697 సేవ యొక్క తిరస్కరణకు పరిమితం చేయబడింది. GSS-TSIG కోడ్ డిఫాల్ట్‌గా డిస్ట్రిబ్యూషన్ ప్యాకేజీలతో సహా ఉపయోగించబడలేదు మరియు ఇతర సమస్యలను కలిగి ఉన్నందున, PowerDNS అధీకృత 4.4.0 విడుదలలో దీన్ని పూర్తిగా తీసివేయాలని నిర్ణయించారు.

CVE-2020-17482 ప్రారంభించబడని ప్రాసెస్ మెమరీ నుండి సమాచారం లీకేజీకి దారితీయవచ్చు, అయితే సర్వర్ అందించే DNS జోన్‌లకు కొత్త రికార్డులను జోడించగల సామర్థ్యాన్ని కలిగి ఉన్న ప్రామాణీకరించబడిన వినియోగదారుల నుండి అభ్యర్థనలను ప్రాసెస్ చేస్తున్నప్పుడు మాత్రమే ఇది జరుగుతుంది.

మూలం: opennet.ru