Опубліковано коригуючі оновлення стабільних гілок DNS-сервера BIND 9.11.28 і 9.16.12, а також експериментальної гілки 9.17.10, що знаходиться в розробці. У нових випусках усунена вразливість (CVE-2020-8625), що призводить до переповнення буфера і потенційно здатна призвести до віддаленого виконання коду зловмисника. Слідів наявності робочих експлоїтів поки що не виявлено.
Проблема викликана помилкою в реалізації механізму SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), що застосовується в GSSAPI для узгодження методів захисту, що використовуються клієнтом і сервером. GSSAPI використовується як високорівневий протокол для захищеного обміну ключами за допомогою розширення GSS-TSIG, що застосовується в процесі автентифікації динамічних оновлень DNS-зон.
Вразливість зачіпає системи, в налаштуваннях яких включено використання GSS-TSIG (наприклад, якщо використовуються налаштування tkey-gssapi-keytab та tkey-gssapi-credential). GSS-TSIG зазвичай застосовується в змішаних оточеннях, в яких BIND поєднується з контролерами домену Active Directory або при інтеграції з Samba. У стандартній конфігурації GSS-TSIG вимкнено.
Як обхідний шлях блокування проблеми, що не вимагає відключення GSS-TSIG, називається збірка BIND без підтримки механізму SPNEGO, який можна відключити через вказівку при запуску скрипта «configure» опції «disable-isc-spnego». У дистрибутивах проблема поки що залишається невиправленою. Простежити за появою оновлень можна на наступних сторінках: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Джерело: opennet.ru