CVE-2020-8625

Versões do BIND 9.5.0 a 9.11.27

Versões do BIND 9.12.0 a 9.16.11

Versões da Edição de Pré-visualização com suporte do BIND 9.11.3-S1 a 9.11.27-S1

Versões da BIND Supported Preview Edition 9.16.8-S1 a 9.16.11-S1

Versões do ramo de desenvolvimento do BIND 9.17 9.17.0 a 9.17.1

O problema está relacionado a um estouro de buffer na implementação do SPNEGO usada pelo BIND, que pode ser acionado quando os recursos GSS-TSIG estão habilitados. Isso pode levar à falha do processo named e, embora não comprovado, a execução remota de código é teoricamente possível. É mais provável que a vulnerabilidade seja exposta em configurações nas quais o BIND está integrado ao Samba ou em ambientes de servidores mistos com controladores de domínio do Active Directory. As opções tkey-gssapi-keytab e tkey-gssapi-credentialconfiguration podem tornar um servidor vulnerável se definidas explicitamente.

Para as versões 9.5.0 a 9.11.27 do BIND, atualize para a versão 9.11.28 ou posterior.

Para as versões 9.12.0 a 9.16.11 do BIND, atualize para a versão 9.16.12 ou posterior.

Para as versões da BIND Supported Preview Edition 9.11.3-S1 a 9.11.27-S1, atualize para a versão 9.11.28-S1 ou posterior.

Para as versões da BIND Supported Preview Edition 9.16.8-S1 a 9.16.11-S1, atualize para a versão 9.16.12-S1 ou posterior.

Para as versões 9.17.0 a 9.17.1 do ramo de desenvolvimento do BIND 9.17, atualize para a versão 9.17.10 ou posterior.

Como solução alternativa temporária, considere desativar os recursos GSS-TSIG até que um patch esteja disponível