BIND DNS sunucusu 9.11.28 ve 9.16.12'nin kararlı dallarının yanı sıra geliştirilmekte olan deneysel dal 9.17.10 için düzeltici güncellemeler yayımlandı. Yeni sürümler, potansiyel olarak bir saldırganın uzaktan kod yürütmesine yol açabilecek bir arabellek taşması güvenlik açığını (CVE-2020-8625) ele alıyor. Henüz çalışan bir istismarın izine rastlanmadı.
Sorun, istemci ve sunucu tarafından kullanılan koruma yöntemlerini anlaşmak için GSSAPI'de kullanılan SPNEGO (Basit ve Korumalı GSSAPI Anlaşma Mekanizması) mekanizmasının uygulanmasındaki bir hatadan kaynaklanmaktadır. GSSAPI, dinamik DNS bölgesi güncellemelerinin kimlik doğrulaması sürecinde kullanılan GSS-TSIG uzantısını kullanarak güvenli anahtar değişimi için üst düzey bir protokol olarak kullanılır.
Güvenlik açığı, GSS-TSIG kullanacak şekilde yapılandırılmış sistemleri etkilemektedir (örneğin, tkey-gssapi-keytab ve tkey-gssapi-credential ayarları kullanılıyorsa). GSS-TSIG genellikle BIND'in Active Directory etki alanı denetleyicileriyle birleştirildiği veya Samba ile entegre edildiği karma ortamlarda kullanılır. Varsayılan konfigürasyonda GSS-TSIG devre dışıdır.
GSS-TSIG'nin devre dışı bırakılmasını gerektirmeyen sorunu engellemenin geçici çözümü, SPNEGO mekanizması desteği olmadan BIND oluşturmaktır; bu, "configure" betiğini çalıştırırken "--disable-isc-spnego" seçeneği belirtilerek devre dışı bırakılabilir. Dağıtımlarda sorun çözülmedi. Güncellemelerin kullanılabilirliğini şu sayfalardan takip edebilirsiniz: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Kaynak: opennet.ru