تم نشر التحديثات التصحيحية للفروع المستقرة لخادم BIND DNS 9.11.31 و9.16.15، بالإضافة إلى الفرع التجريبي 9.17.12 الذي هو قيد التطوير. تعالج الإصدارات الجديدة ثلاث نقاط ضعف، إحداها (CVE-2021-25216) تتسبب في تجاوز سعة المخزن المؤقت. في أنظمة 32 بت، يمكن استغلال الثغرة الأمنية لتنفيذ تعليمات برمجية للمهاجم عن بعد عن طريق إرسال طلب GSS-TSIG معد خصيصًا. في 64 نظامًا، تقتصر المشكلة على تعطل العملية المسماة.
تظهر المشكلة فقط عند تمكين آلية GSS-TSIG، وتنشيطها باستخدام إعدادات بيانات الاعتماد tkey-gssapi-keytab وtkey-gssapi. يتم تعطيل GSS-TSIG في التكوين الافتراضي ويستخدم عادةً في البيئات المختلطة حيث يتم دمج BIND مع وحدات تحكم مجال Active Directory، أو عند التكامل مع Samba.
سبب الثغرة الأمنية هو خطأ في تنفيذ آلية SPNEGO (آلية تفاوض GSSAPI البسيطة والمحمية)، المستخدمة في GSSAPI للتفاوض حول أساليب الحماية المستخدمة من قبل العميل والخادم. يتم استخدام GSSAPI كبروتوكول عالي المستوى لتبادل المفاتيح الآمنة باستخدام امتداد GSS-TSIG المستخدم في عملية مصادقة تحديثات منطقة DNS الديناميكية.
نظرًا لأنه تم اكتشاف ثغرات أمنية حرجة في التنفيذ المدمج لـ SPNEGO مسبقًا، فقد تمت إزالة تنفيذ هذا البروتوكول من قاعدة كود BIND 9. بالنسبة للمستخدمين الذين يحتاجون إلى دعم SPNEGO، يوصى باستخدام تطبيق خارجي مقدم من GSSAPI مكتبة النظام (متوفرة في MIT Kerberos وHeimdal Kerberos).
يمكن لمستخدمي الإصدارات الأقدم من BIND، كحل بديل لحظر المشكلة، تعطيل GSS-TSIG في الإعدادات (الخيارات tkey-gssapi-keytab وtkey-gssapi-credential) أو إعادة إنشاء BIND دون دعم آلية SPNEGO (الخيار "-" -disable-isc-spnego" في البرنامج النصي "configure"). يمكنك تتبع توفر التحديثات في التوزيعات على الصفحات التالية: Debian، SUSE، Ubuntu، Fedora، Arch Linux، FreeBSD، NetBSD. تم إنشاء حزم RHEL وALT Linux بدون دعم SPNEGO الأصلي.
بالإضافة إلى ذلك، تم إصلاح ثغرتين أخريين في تحديثات BIND المعنية:
- CVE-2021-25215 — تعطلت العملية المسماة عند معالجة سجلات DNAME (إعادة توجيه معالجة جزء من النطاقات الفرعية)، مما أدى إلى إضافة نسخ مكررة إلى قسم الإجابة. يتطلب استغلال الثغرة الأمنية على خوادم DNS الموثوقة إجراء تغييرات على مناطق DNS المعالجة، وبالنسبة للخوادم المتكررة، يمكن الحصول على السجل الذي به مشكلات بعد الاتصال بالخادم المعتمد.
- CVE-2021-25214 – تتعطل العملية المسماة عند معالجة طلب IXFR وارد معد خصيصًا (يستخدم لنقل التغييرات بشكل متزايد في مناطق DNS بين خوادم DNS). تؤثر المشكلة فقط على الأنظمة التي سمحت بعمليات نقل منطقة DNS من خادم المهاجم (عادةً ما يتم استخدام عمليات نقل المنطقة لمزامنة الخوادم الرئيسية والتابعة ولا يُسمح بها بشكل انتقائي إلا للخوادم الجديرة بالثقة). كحل بديل للأمان، يمكنك تعطيل دعم IXFR باستخدام الإعداد "request-ixfr no;".
المصدر: opennet.ru