וואַלנעראַביליטי אין די BIND DNS סערווער וואָס קען נישט ויסשליסן די דורכפירונג פון ווייַט קאָד

קערעקטיוו דערהייַנטיקונגען זענען ארויס פֿאַר די סטאַביל צווייגן פון די BIND DNS סערווער 9.11.28 און 9.16.12, ווי געזונט ווי די יקספּערמענאַל צווייַג 9.17.10, וואָס איז אין אַנטוויקלונג. די נייַע ריליסיז אַדרעס אַ באַפער אָוווערפלאָו וואַלנעראַביליטי (CVE-2020-8625) וואָס קען פּאַטענטשאַלי פירן צו ווייַט קאָד דורכפירונג דורך אַן אַטאַקער. קיין שפּור פון אַרבעט עקספּלויץ זענען נאָך יידענאַפייד.

דער פּראָבלעם איז געפֿירט דורך אַ טעות אין די ימפּלאַמענטיישאַן פון די SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) מעקאַניזאַם געניצט אין GSSAPI צו פאַרהאַנדלען די שוץ מעטהאָדס געניצט דורך דעם קליענט און סערווער. GSSAPI איז געניצט ווי אַ הויך-מדרגה פּראָטאָקאָל פֿאַר זיכער שליסל וועקסל מיט די GSS-TSIG פאַרלענגערונג געניצט אין דעם פּראָצעס פון אָטענטאַקייטינג דינאַמיש דנס זאָנע דערהייַנטיקונגען.

די וואַלנעראַביליטי אַפעקץ סיסטעמען וואָס זענען קאַנפיגיערד צו נוצן GSS-TSIG (למשל אויב די tkey-gssapi-keytab און tkey-gssapi-קרעדענשאַל סעטטינגס זענען געניצט). GSS-TSIG איז טיפּיקלי געניצט אין געמישט ינווייראַנמאַנץ ווו BIND איז קאַמביינד מיט אַקטיווע Directory פעלד קאַנטראָולערז, אָדער ינאַגרייטיד מיט סאַמבאַ. אין די פעליקייַט קאַנפיגיעריישאַן, GSS-TSIG איז פאַרקריפּלט.

א וואָרקאַראָונד פֿאַר בלאַקינג דעם פּראָבלעם וואָס טוט נישט דאַרפן דיסייבאַלינג GSS-TSIG איז צו בויען BIND אָן שטיצן פֿאַר די SPNEGO מעקאַניזאַם, וואָס קענען זיין פאַרקריפּלט דורך ספּעציפיצירן די "--disable-isc-spnego" אָפּציע ווען פליסנדיק די "קאָנפיגורע" שריפט. דער פּראָבלעם בלייבט אַנפיקסט אין דיסטריביושאַנז. איר קענען שפּור די אַוויילאַבילאַטי פון דערהייַנטיקונגען אויף די פאלגענדע בלעטער: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.

מקור: opennet.ru