Na-publish ang mga corrective update para sa mga stable na branch ng BIND DNS server 9.11.28 at 9.16.12, pati na rin ang experimental branch 9.17.10, na nasa development. Ang mga bagong release ay tumutugon sa isang buffer overflow na kahinaan (CVE-2020-8625) na posibleng humantong sa remote code execution ng isang attacker. Wala pang natukoy na bakas ng mga nagtatrabahong pagsasamantala.
Ang problema ay sanhi ng isang error sa pagpapatupad ng SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) na mekanismo na ginamit sa GSSAPI upang makipag-ayos sa mga paraan ng proteksyon na ginagamit ng kliyente at server. Ginagamit ang GSSAPI bilang isang high-level na protocol para sa secure na key exchange gamit ang GSS-TSIG extension na ginamit sa proseso ng pag-authenticate ng mga dynamic na DNS zone update.
Ang kahinaan ay nakakaapekto sa mga system na naka-configure na gumamit ng GSS-TSIG (halimbawa, kung ang tkey-gssapi-keytab at tkey-gssapi-credential na mga setting ay ginamit). Karaniwang ginagamit ang GSS-TSIG sa magkahalong kapaligiran kung saan pinagsama ang BIND sa mga controller ng domain ng Active Directory, o kapag isinama sa Samba. Sa default na configuration, ang GSS-TSIG ay hindi pinagana.
Ang isang solusyon para sa pagharang sa problema na hindi nangangailangan ng hindi pagpapagana ng GSS-TSIG ay ang pagbuo ng BIND nang walang suporta para sa mekanismo ng SPNEGO, na maaaring hindi paganahin sa pamamagitan ng pagtukoy sa opsyong "--disable-isc-spnego" kapag pinapatakbo ang script na "configure". Ang problema ay nananatiling hindi naayos sa mga pamamahagi. Maaari mong subaybayan ang pagkakaroon ng mga update sa mga sumusunod na pahina: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Pinagmulan: opennet.ru