BIND DNS سرور 9.11.28 اور 9.16.12 کی مستحکم برانچوں کے ساتھ ساتھ تجرباتی برانچ 9.17.10 کے لیے اصلاحی اپ ڈیٹس شائع کیے گئے ہیں، جو ترقی کے مراحل میں ہے۔ نئی ریلیز ایک بفر اوور فلو خطرے (CVE-2020-8625) کو دور کرتی ہے جو ممکنہ طور پر حملہ آور کے ذریعہ ریموٹ کوڈ پر عمل درآمد کا باعث بن سکتی ہے۔ ابھی تک کام کرنے والے استحصال کے نشانات کی نشاندہی نہیں کی گئی ہے۔
مسئلہ SPNEGO (سادہ اور محفوظ GSSAPI گفت و شنید میکانزم) کے نفاذ میں خرابی کی وجہ سے ہے جو GSSAPI میں کلائنٹ اور سرور کے ذریعہ استعمال کیے جانے والے تحفظ کے طریقوں پر گفت و شنید کرنے کے لیے استعمال ہوتا ہے۔ GSSAPI کو GSS-TSIG ایکسٹینشن کا استعمال کرتے ہوئے محفوظ کلیدی تبادلے کے لیے ایک اعلیٰ سطحی پروٹوکول کے طور پر استعمال کیا جاتا ہے جو متحرک DNS زون اپ ڈیٹس کی تصدیق کے عمل میں استعمال ہوتا ہے۔
کمزوری ان سسٹمز کو متاثر کرتی ہے جو GSS-TSIG استعمال کرنے کے لیے ترتیب دیے گئے ہیں (مثال کے طور پر، اگر tkey-gssapi-keytab اور tkey-gssapi-credential ترتیبات استعمال کی جائیں)۔ GSS-TSIG عام طور پر مخلوط ماحول میں استعمال ہوتا ہے جہاں BIND کو Active Directory ڈومین کنٹرولرز کے ساتھ ملایا جاتا ہے، یا جب Samba کے ساتھ ضم کیا جاتا ہے۔ پہلے سے طے شدہ ترتیب میں، GSS-TSIG غیر فعال ہے۔
اس مسئلے کو روکنے کے لیے ایک حل جس کے لیے GSS-TSIG کو غیر فعال کرنے کی ضرورت نہیں ہے، یہ ہے کہ SPNEGO میکانزم کی حمایت کے بغیر BIND بنانا ہے، جسے "-disable-isc-spnego" کے اختیار کی وضاحت کر کے غیر فعال کیا جا سکتا ہے جب "configure" اسکرپٹ چلا رہے ہوں۔ تقسیم میں مسئلہ غیر حل شدہ رہتا ہے۔ آپ درج ذیل صفحات پر اپ ڈیٹس کی دستیابی کو ٹریک کر سکتے ہیں: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD۔
ماخذ: opennet.ru