BIND DNS serverining 9.11.28 va 9.16.12 barqaror tarmoqlari, shuningdek, ishlab chiqilayotgan 9.17.10 eksperimental filiallari uchun tuzatuvchi yangilanishlar chop etildi. Yangi nashrlar buferning to'lib ketishiga qarshi zaiflikni (CVE-2020-8625) ko'rib chiqadi, bu esa tajovuzkor tomonidan masofaviy kod bajarilishiga olib kelishi mumkin. Ishchi ekspluatatsiya izlari hali aniqlanmagan.
Muammo mijoz va server tomonidan qo'llaniladigan himoya usullarini muhokama qilish uchun GSSAPIda qo'llaniladigan SPNEGO (Oddiy va himoyalangan GSSAPI muzokara mexanizmi) mexanizmini amalga oshirishdagi xatolik tufayli yuzaga keladi. GSSAPI dinamik DNS zonasi yangilanishlarini autentifikatsiya qilish jarayonida foydalaniladigan GSS-TSIG kengaytmasidan foydalangan holda kalitlarni xavfsiz almashish uchun yuqori darajadagi protokol sifatida ishlatiladi.
Zaiflik GSS-TSIG dan foydalanish uchun sozlangan tizimlarga ta'sir qiladi (masalan, tkey-gssapi-keytab va tkey-gssapi-hisob ma'lumotlari sozlamalari ishlatilsa). GSS-TSIG odatda BIND Active Directory domen kontrollerlari bilan birlashtirilgan yoki Samba bilan integratsiyalashgan aralash muhitlarda qo'llaniladi. Standart konfiguratsiyada GSS-TSIG o'chirilgan.
GSS-TSIG-ni o'chirib qo'yishni talab qilmaydigan muammoni blokirovka qilishning vaqtinchalik echimi BIND-ni SPNEGO mexanizmini qo'llab-quvvatlamasdan qurishdir, uni "konfiguratsiya" skriptini ishga tushirishda "--disable-isc-spnego" opsiyasini belgilash orqali o'chirib qo'yish mumkin. Muammo tarqatishda hal qilinmagan. Yangilanishlar mavjudligini quyidagi sahifalarda kuzatishingiz mumkin: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Manba: opennet.ru