มีการเผยแพร่การอัปเดตเพื่อแก้ไขสำหรับสาขาเสถียรของเซิร์ฟเวอร์ BIND DNS เวอร์ชัน 9.11.28 และ 9.16.12 รวมถึงสาขาทดลอง 9.17.10 ซึ่งกำลังอยู่ในระหว่างการพัฒนา การอัปเดตใหม่เหล่านี้แก้ไขช่องโหว่บัฟเฟอร์ล้น (CVE-2020-8625) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล ยังไม่มีการระบุช่องโหว่ที่ใช้งานได้
ปัญหาเกิดจากข้อผิดพลาดในการใช้งานกลไก SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) ซึ่งใช้ใน GSSAPI เพื่อเจรจาโปรโตคอลที่ใช้โดยไคลเอ็นต์และ เซิร์ฟเวอร์ วิธีการรักษาความปลอดภัย GSSAPI ถูกใช้เป็นโปรโตคอลระดับสูงสำหรับการแลกเปลี่ยนคีย์อย่างปลอดภัยโดยใช้ส่วนขยาย GSS-TSIG ซึ่งใช้ในกระบวนการตรวจสอบความถูกต้องของการอัปเดตโซน DNS แบบไดนามิก
ช่องโหว่นี้ส่งผลกระทบต่อระบบที่ตั้งค่าโดยเปิดใช้งาน GSS-TSIG (ตัวอย่างเช่น หากมีการใช้การตั้งค่า tkey-gssapi-keytab และ tkey-gssapi-credential) โดยทั่วไปแล้ว GSS-TSIG จะใช้ในสภาพแวดล้อมแบบผสมผสานที่ BIND ถูกรวมเข้ากับคอนโทรลเลอร์ โดเมน Active Directory หรือเมื่อใช้งานร่วมกับ Samba ในการตั้งค่าเริ่มต้น GSS-TSIG จะถูกปิดใช้งาน
วิธีแก้ปัญหาที่ไม่ต้องปิดใช้งาน GSS-TSIG คือการสร้าง BIND โดยไม่รองรับ SPNEGO ซึ่งสามารถปิดใช้งานได้โดยการระบุตัวเลือก "--disable-isc-spnego" เมื่อเรียกใช้สคริปต์ "configure" ปัญหาดังกล่าวยังไม่ได้รับการแก้ไขในระบบปฏิบัติการต่างๆ คุณสามารถติดตามการอัปเดตได้ในหน้าต่อไปนี้: DebianRHEL, SUSE, Ubuntuเฟโดรา อาร์ช Linuxฟรีบีเอสดี, เน็ตบีเอสดี
ที่มา: opennet.ru
