навсозиҳои бонуфузи сервери DNS ки дар он чор осебпазирӣ, ки дутои онҳо метавонанд ба иҷроиши коди дурдаст аз ҷониби ҳамлакунанда оварда расонанд.
Осебиятҳои CVE-2020-24696, CVE-2020-24697 ва CVE-2020-24698
код бо татбици механизми мубодилаи калидй . Осиятҳо танҳо вақте пайдо мешаванд, ки PowerDNS бо дастгирии GSS-TSIG сохта шудааст (“—enable-experimental-gss-tsig”, ба таври нобаёнӣ истифода намешавад) ва онҳоро тавассути фиристодани бастаи шабакаи махсус тарҳрезишуда истифода бурдан мумкин аст. Шароитҳои мусобиқа ва осебпазирии дукарата CVE-2020-24696 ва CVE-2020-24698 метавонанд ҳангоми коркарди дархостҳо бо имзоҳои нодуруст форматшудаи GSS-TSIG ба суқут ё иҷро шудани рамзи ҳамла оварда расонанд. Осебпазирии CVE-2020-24697 бо радди хидмат маҳдуд аст. Азбаски рамзи GSS-TSIG ба таври нобаёнӣ, аз ҷумла дар бастаҳои паҳнкунӣ истифода нашудааст ва эҳтимолан мушкилоти дигарро дар бар мегирад, қарор шуд, ки он дар нашри PowerDNS Authoritative 4.4.0 комилан хориҷ карда шавад.
метавонад ба ихроҷи иттилоот аз хотираи коркарднашуда оварда расонад, аммо танҳо ҳангоми коркарди дархостҳои корбарони тасдиқшуда, ки қобилияти илова кардани сабтҳои навро ба минтақаҳои DNS аз ҷониби сервер пешниҳод мекунанд, рух медиҳад.
Манбаъ: opennet.ru