וואַלנעראַביליטיז אין PowerDNS Authoritative Server

בנימצא אַטאָראַטייטיוו דנס סערווער דערהייַנטיקונגען PowerDNS Authoritative Server 4.3.1, 4.2.3 און 4.1.14אין וואָס ילימאַנייטאַד פיר וואַלנעראַביליטיז, צוויי פון וואָס קען פּאַטענטשאַלי פירן צו ווייַט קאָד דורכפירונג דורך אַ אַטאַקער.

וואַלנעראַביליטיז CVE-2020-24696, CVE-2020-24697 און CVE-2020-24698
ווירקן קאָד מיט די ימפּלאַמענטיישאַן פון די שליסל וועקסל מעקאַניזאַם גסס-ציג. די וואַלנעראַביליטיז דערשייַנען בלויז ווען PowerDNS איז געבויט מיט GSS-TSIG שטיצן ("-enable-experimental-gss-tsig", ניט געוויינט דורך פעליקייַט) און קענען זיין עקספּלויטאַד דורך שיקן אַ ספּעשלי דיזיינד נעץ פּאַקאַט. ראַסע טנאָים און טאָפּל-פריי וואַלנעראַביליטיז CVE-2020-24696 און CVE-2020-24698 קענען פירן צו קראַך אָדער דורכפירונג פון אַטאַקער קאָד ווען פּראַסעסינג ריקוועס מיט פאַלש פאָרמאַטטעד GSS-TSIG סיגנאַטשערז. די וואַלנעראַביליטי CVE-2020-24697 איז לימיטעד צו אָפּלייקענונג פון דינסט. זינט די GSS-TSIG קאָד איז נישט געניצט דורך פעליקייַט, אַרייַנגערעכנט אין פאַרשפּרייטונג פּאַקאַדזשאַז, און פּאַטענטשאַלי כּולל אנדערע פּראָבלעמס, עס איז באַשלאָסן צו גאָר באַזייַטיקן עס אין די מעלדונג פון PowerDNS Authoritative 4.4.0.

CVE-2020-17482 קענען פירן צו אינפֿאָרמאַציע ליקאַדזש פון אַנינישיאַלייזד פּראָצעס זכּרון, אָבער נאָר אַקערז ווען פּראַסעסינג ריקוועס פון אָטענטאַקייטאַד ניצערס וואָס האָבן די פיייקייט צו לייגן נייַ רעקאָרדס צו די דנס זאָנעס געדינט דורך די סערווער.

מקור: opennet.ru