оновлення авторитетного (authoritative) DNS-сервера , в яких чотири вразливості, дві з яких потенційно можуть призвести до віддаленого виконання коду атакуючого.
Вразливості CVE-2020-24696, CVE-2020-24697 та CVE-2020-24698
код з реалізацією механізму обміну ключами . Вразливості виявляються тільки при складанні PowerDNS з підтримкою GSS-TSIG («-enable-experimental-gss-tsig», за замовчуванням не використовується) і можуть бути експлуатовані через відправлення спеціально оформленого мережного пакета. Вразливості CVE-2020-24696 і CVE-2020-24698, викликані станом гонки та подвійним звільненням пам'яті (double-free), можуть призвести до краху або виконання атакуючого коду при обробці запитів з некоректно оформленими підписами GSS-TSIG. Вразливість CVE-2020-24697 обмежується відмовою в обслуговуванні. Оскільки код GSS-TSIG не використовувався за умовчанням, у тому числі в пакетах дистрибутивів, і потенційно містить інші проблеми, його вирішено повністю видалити у випуску PowerDNS Authoritative 4.4.0.
може призвести до витоку інформації з неініціалізованої пам'яті процесу, але проявляється тільки при обробці запитів від автентифікованих користувачів, які мають можливість додавати нові записи до обслуговуваних сервером DNS-зон.
Джерело: opennet.ru