Уязвимости в PowerDNS Authoritative Server

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
30-Сен-2020 18:31

Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего.
Уязвимости CVE-2020-24696, CVE-2020-24697 и CVE-2020-24698
затрагивают код с реализацией механизма обмена ключами GSS-TSIG. Уязвимости проявляются только при сборке PowerDNS c поддержкой GSS-TSIG ("--enable-experimental-gss-tsig", по умолчанию не используется) и могут быть эксплуатированы через отправку специально оформленного сетевого пакета. Уязвимости CVE-2020-24696 и CVE-2020-24698, вызванные состоянием гонки и двойным освобождением памяти (double-free), могут привести к краху или выполнению кода атакующего при обработке запросов с некорректно оформленными подписями GSS-TSIG. Уязвимость CVE-2020-24697 ограничивается отказом в обслуживании. Так как код GSS-TSIG не использовался по умолчанию, в том числе в пакетах дистрибутивов, и потенциально содержит другие проблемы его решено полностью удалить в выпуске PowerDNS Authoritative 4.4.0.
CVE-2020-17482 может привести к утечке информации из неинициализированной памяти процесса, но проявляется только при обработке запросов от аутентифицированных пользователей, имеющих возможность добавлять новые записи в обслуживаемые сервером DNS-зоны.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_powerdns
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 00:55
Часовой пояс: UTC + 5