已发布 BIND DNS 服务器 9.11.28 和 9.16.12 的稳定分支以及正在开发的实验分支 9.17.10 的修正更新。 新版本解决了缓冲区溢出漏洞 (CVE-2020-8625),该漏洞可能导致攻击者远程执行代码。 尚未发现有效利用的痕迹。
该问题是由 GSSAPI 中用于协商客户端和服务器使用的保护方法的 SPNEGO(简单且受保护的 GSSAPI 协商机制)机制的实现错误引起的。 GSSAPI 用作安全密钥交换的高级协议,使用在验证动态 DNS 区域更新过程中使用的 GSS-TSIG 扩展。
该漏洞影响配置为使用 GSS-TSIG 的系统(例如,如果使用 tkey-gssapi-keytab 和 tkey-gssapi-credential 设置)。 GSS-TSIG 通常用于 BIND 与 Active Directory 域控制器结合使用或与 Samba 集成的混合环境中。 在默认配置中,GSS-TSIG 被禁用。
阻止不需要禁用 GSS-TSIG 的问题的解决方法是构建不支持 SPNEGO 机制的 BIND,可以通过在运行“configure”脚本时指定“--disable-isc-spnego”选项来禁用该机制。 该问题在发行版中仍未解决。 您可以在以下页面上跟踪更新的可用性:Debian、RHEL、SUSE、Ubuntu、Fedora、Arch Linux、FreeBSD、NetBSD。
来源: opennet.ru