Korrektiewe opdaterings is gepubliseer vir die stabiele takke van die BIND DNS-bediener 9.11.31 en 9.16.15, sowel as die eksperimentele tak 9.17.12, wat in ontwikkeling is. Die nuwe vrystellings spreek drie kwesbaarhede aan, waarvan een (CVE-2021-25216) 'n bufferoorloop veroorsaak. Op 32-bis-stelsels kan die kwesbaarheid uitgebuit word om 'n aanvaller se kode op afstand uit te voer deur 'n spesiaal vervaardigde GSS-TSIG-versoek te stuur. Op 64 stelsels is die probleem beperk tot die ineenstorting van die genoemde proses.
Die probleem verskyn slegs wanneer die GSS-TSIG-meganisme geaktiveer is, geaktiveer met behulp van die tkey-gssapi-keytab en tkey-gssapi-credential instellings. GSS-TSIG is gedeaktiveer in die verstekkonfigurasie en word tipies gebruik in gemengde omgewings waar BIND gekombineer word met Active Directory-domeinbeheerders, of wanneer dit met Samba geïntegreer word.
Die kwesbaarheid word veroorsaak deur 'n fout in die implementering van die SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) meganisme, wat in GSSAPI gebruik word om die beskermingsmetodes wat deur die kliënt en bediener gebruik word, te onderhandel. GSSAPI word gebruik as 'n hoëvlakprotokol vir veilige sleuteluitruiling deur die GSS-TSIG-uitbreiding te gebruik wat gebruik word in die proses om dinamiese DNS-sone-opdaterings te staaf.
Omdat kritieke kwesbaarhede in die ingeboude implementering van SPNEGO voorheen gevind is, is die implementering van hierdie protokol van die BIND 9-kodebasis verwyder. Vir gebruikers wat SPNEGO-ondersteuning benodig, word dit aanbeveel om 'n eksterne implementering te gebruik wat deur die GSSAPI verskaf word stelselbiblioteek (verskaf in MIT Kerberos en Heimdal Kerberos).
Gebruikers van ouer weergawes van BIND, as 'n oplossing om die probleem te blokkeer, kan GSS-TSIG in die instellings deaktiveer (opsies tkey-gssapi-keytab en tkey-gssapi-credential) of BIND herbou sonder ondersteuning vir die SPNEGO-meganisme (opsie "- -disable-isc-spnego" in script "configure"). U kan die beskikbaarheid van opdaterings in verspreidings op die volgende bladsye naspoor: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL- en ALT Linux-pakkette word gebou sonder inheemse SPNEGO-ondersteuning.
Boonop word nog twee kwesbaarhede in die betrokke BIND-opdaterings reggestel:
- CVE-2021-25215 — die genoemde proses het omgeval tydens die verwerking van DNAME-rekords (herleidingverwerking van 'n deel van subdomeine), wat gelei het tot die byvoeging van duplikate by die ANTWOORD-afdeling. Om die kwesbaarheid op gesaghebbende DNS-bedieners te ontgin, vereis dat veranderinge aan die verwerkte DNS-sones gemaak word, en vir rekursiewe bedieners kan die problematiese rekord verkry word nadat die gesaghebbende bediener gekontak is.
- CVE-2021-25214 – Die genoemde proses val ineen wanneer 'n spesiaal vervaardigde inkomende IXFR-versoek verwerk word (word gebruik om veranderinge in DNS-sones inkrementeel tussen DNS-bedieners oor te dra). Die probleem raak slegs stelsels wat DNS-sone-oordragte vanaf die aanvaller se bediener toegelaat het (gewoonlik word sone-oordragte gebruik om meester- en slaafbedieners te sinchroniseer en word selektief slegs vir betroubare bedieners toegelaat). As 'n veiligheidsoplossing kan u IXFR-ondersteuning deaktiveer deur die "request-ixfr no;"-instelling te gebruik.
Bron: opennet.ru