awọn imudojuiwọn olupin DNS aṣẹ , ninu eyiti awọn ailagbara mẹrin, meji ninu eyiti o le ja si ipaniyan koodu latọna jijin nipasẹ ikọlu kan.
Awọn ailagbara CVE-2020-24696, CVE-2020-24697 ati CVE-2020-24698
koodu pẹlu imuse ti ọna ẹrọ paṣipaarọ bọtini . Awọn ailagbara han nikan nigbati PowerDNS ti kọ pẹlu atilẹyin GSS-TSIG (“—enable-experimental-gss-tsig”, kii ṣe lilo nipasẹ aiyipada) ati pe o le lo nilokulo nipasẹ fifiranṣẹ apo-iwe nẹtiwọki ti a ṣe apẹrẹ pataki kan. Awọn ipo ere-ije ati awọn ailagbara meji-ọfẹ CVE-2020-24696 ati CVE-2020-24698 le ja si jamba tabi ipaniyan ti koodu ikọlu nigba ṣiṣe awọn ibeere pẹlu awọn ibuwọlu GSS-TSIG ti ko tọ. Ailagbara CVE-2020-24697 ni opin si kiko iṣẹ. Niwọn igba ti koodu GSS-TSIG ko lo nipasẹ aiyipada, pẹlu ninu awọn idii pinpin, ati pe o ni awọn iṣoro miiran, o pinnu lati yọkuro patapata ni itusilẹ ti PowerDNS Aṣẹ 4.4.0.
le ja si jijo alaye lati iranti ilana ti ko ni ibẹrẹ, ṣugbọn waye nikan nigbati awọn ibeere ṣiṣe lati ọdọ awọn olumulo ti o jẹri ti o ni agbara lati ṣafikun awọn igbasilẹ tuntun si awọn agbegbe DNS ti olupin ṣiṣẹ.
orisun: opennet.ru