የማስተካከያ ዝመናዎች ለተረጋጋ የ BIND ዲኤንኤስ አገልጋይ 9.11.31 እና 9.16.15 እንዲሁም በልማት ላይ ላለው የሙከራ ቅርንጫፍ 9.17.12 ታትመዋል። አዲሶቹ የተለቀቁት ሶስት ተጋላጭነቶችን የሚዳስሱ ሲሆን ከነዚህም አንዱ (CVE-2021-25216) የቋት መትረፍን ያስከትላል። በ32-ቢት ሲስተሞች ላይ፣ ልዩነቱ የተሰራ የ GSS-TSIG ጥያቄ በመላክ የአጥቂን ኮድ በርቀት ለማስፈጸም ተጋላጭነቱን መጠቀም ይቻላል። በ 64 ስርዓቶች ላይ ችግሩ በተሰየመው ሂደት ብልሽት ላይ ብቻ ነው.
ችግሩ የ GSS-TSIG ዘዴ ሲነቃ tkey-gssapi-keytab እና tkey-gssapi-የማስረጃ ቅንብሮችን በመጠቀም ሲነቃ ብቻ ነው. GSS-TSIG በነባሪ ውቅር ውስጥ ተሰናክሏል እና በተለምዶ BIND ከActive Directory ጎራ ተቆጣጣሪዎች ጋር በተጣመረ ወይም ከሳምባ ጋር ሲዋሃድ በተደባለቀ አካባቢዎች ጥቅም ላይ ይውላል።
ተጋላጭነቱ የሚከሰተው በ GSSAPI ውስጥ ደንበኛው እና ደንበኛው የሚጠቀሙባቸውን ፕሮቶኮሎች ለመደራደር ጥቅም ላይ የሚውለውን የ SPNEGO (ቀላል እና የተጠበቀ የ GSSAPI የድርድር ዘዴ) ዘዴ በመተግበር ላይ ባለ ስህተት ምክንያት ነው። አገልጋይ የደህንነት ዘዴዎች። GSSAPI የGSS-TSIG ቅጥያውን በመጠቀም ደህንነቱ የተጠበቀ የቁልፍ ልውውጥ ለማድረግ እንደ ከፍተኛ ደረጃ ፕሮቶኮል ጥቅም ላይ ይውላል፣ ይህም ተለዋዋጭ የዲኤንኤስ ዞን ዝመናዎችን ትክክለኛነት በማረጋገጥ ሂደት ውስጥ ጥቅም ላይ ይውላል።
አብሮ በተሰራው የ SPNEGO ትግበራ ውስጥ ወሳኝ ድክመቶች ቀደም ብለው ስለተገኙ የዚህ ፕሮቶኮል ትግበራ ከ BIND 9 ኮድ መሰረት ተወግዷል የ SPNEGO ድጋፍ ለሚፈልጉ ተጠቃሚዎች በ GSSAPI የቀረበውን ውጫዊ ትግበራ እንዲጠቀሙ ይመከራል. የስርዓት ቤተ-መጽሐፍት (በ MIT Kerberos እና Heimdal Kerberos ውስጥ የቀረበ)።
እንደ መፍትሄ፣ የቆዩ የBIND ስሪቶች ተጠቃሚዎች በቅንብሮች ውስጥ GSS-TSIGን ማሰናከል ወይም ያለ SPNEGO ድጋፍ BINDን እንደገና ማጠናቀር ይችላሉ (በ"configure" ስክሪፕት ውስጥ ያለው "--disable-isc-spnego" አማራጭ)። በሚከተሉት ገጾች ላይ የስርጭቶችዎን ዝማኔዎች መከታተል ይችላሉ፡ Debian, ሱሴ፣ Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL እና ALT ፓኬጆች Linux ያለ አብሮ የተሰራ የSPNEGO ድጋፍ የተዋሃዱ ናቸው።
በተጨማሪም፣ በጥያቄ ውስጥ ባለው የ BIND ዝመናዎች ውስጥ ሁለት ተጨማሪ ተጋላጭነቶች ተስተካክለዋል፡
- CVE-2021-25215 — የተሰየመው ሂደት የDNAME መዝገቦችን በማስኬድ ላይ እያለ ተበላሽቷል (የአንዳንድ ንዑስ ጎራዎችን አቅጣጫ መቀየር ሂደት)፣ በዚህም ምክንያት የተባዙ ቅጂዎች ወደ የመልስ ክፍል ይታከላሉ። በስልጣን ባላቸው የዲኤንኤስ አገልጋዮች ላይ ያለውን ተጋላጭነት መጠቀም በሂደት ላይ ባሉ የዲኤንኤስ ዞኖች እና ለተደጋጋሚ ዞኖች ማሻሻያዎችን ይጠይቃል አገልጋዮች ችግር ያለበት መዝገብ ባለስልጣን ያለውን አገልጋይ በማነጋገር ማግኘት ይቻላል።
- CVE-2021-25214 - የተሰየመው ሂደት በልዩ ሁኔታ የተሰራ ገቢ IXFR ጥያቄን ሲያካሂድ ይወድቃል (በዲ ኤን ኤስ ዞኖች ውስጥ በዲ ኤን ኤስ አገልጋዮች መካከል ለውጦችን ለመጨመር ይጠቅማል)። ችግሩ የዲ ኤን ኤስ ዞን ከአጥቂው አገልጋይ እንዲተላለፍ የፈቀዱትን ሲስተሞች ብቻ ነው የሚመለከተው (ብዙውን ጊዜ የዞን ማስተላለፎች ዋና እና ባሪያ አገልጋዮችን ለማመሳሰል እና ለታማኝ አገልጋዮች ብቻ ነው የሚፈቀዱት)። እንደ የደህንነት መጠበቂያ፣ “request-ixfr no;” ቅንብርን በመጠቀም የIXFR ድጋፍን ማሰናከል ይችላሉ።
ምንጭ: opennet.ru
