Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено.
Проблема вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Уязвимость затрагивает системы, в настройках которых включено использование GSS-TSIG (например, если используются настройки tkey-gssapi-keytab и tkey-gssapi-credential). GSS-TSIG обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba. В конфигурации по умолчанию GSS-TSIG отключён.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта "configure" опции "--disable-isc-spnego". В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.openwall.com/lists...)
- OpenNews: Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
- OpenNews: Изменение модели формирования релизов DNS-сервера BIND. BIND 9.18 отложен на следующий год
- OpenNews: Cloudflare, Apple и Fastly представили сохраняющий конфиденциальность вариант DNS over HTTPS
- OpenNews: Атака SAD DNS для подстановки фиктивных данных в кэш DNS
- OpenNews: DNS Push-уведомления получили статус предложенного стандарта
Похожие новости:
- Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT
- [Информационная безопасность, DNS, Монетизация IT-систем] Ахтунг: «бесплатный» антивирус от RU-CENTER (NIC.RU)
- [Системное администрирование, Виртуализация, Серверное администрирование, DevOps] Хранение данных в Docker
- Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
- [Интерфейсы, ReactJS, TypeScript] Код на React и TypeScript, который работает быстро. Доклад Яндекса
- Изменение модели формирования релизов DNS-сервера BIND. BIND 9.18 отложен на следующий год
- [Информационная безопасность, DNS] NXNSAttack или что делать с DDoS-атакой, усиленной в 163 раза
- [Информационная безопасность, Сетевые технологии] VPN: ещё раз просто о сложном
- Выпуск PowerDNS Authoritative Server 4.4
- Cloudflare, Apple и Fastly представили сохраняющий конфиденциальность вариант DNS over HTTPS
Теги для поиска: #_bind, #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:09
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено. Проблема вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон. Уязвимость затрагивает системы, в настройках которых включено использование GSS-TSIG (например, если используются настройки tkey-gssapi-keytab и tkey-gssapi-credential). GSS-TSIG обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba. В конфигурации по умолчанию GSS-TSIG отключён. В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта "configure" опции "--disable-isc-spnego". В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:09
Часовой пояс: UTC + 5