BIND DNS serverinin 9.11.31 və 9.16.15 stabil filialları, eləcə də inkişafda olan 9.17.12 eksperimental filialı üçün düzəldici yeniləmələr dərc edilmişdir. Yeni buraxılışlarda biri (CVE-2021-25216) bufer daşmasına səbəb olan üç boşluqdan bəhs edir. 32 bitlik sistemlərdə zəiflikdən xüsusi hazırlanmış GSS-TSIG sorğusu göndərməklə təcavüzkarın kodunu uzaqdan icra etmək üçün istifadə edilə bilər. 64 sistemdə problem adı çəkilən prosesin çökməsi ilə məhdudlaşır.
Problem yalnız GSS-TSIG mexanizmi işə salındıqda, tkey-gssapi-keytab və tkey-gssapi-etimadnamə parametrlərindən istifadə edərək aktivləşdirildikdə görünür. GSS-TSIG standart konfiqurasiyada qeyri-aktivdir və adətən BIND-in Active Directory domen nəzarətçiləri ilə birləşdirildiyi qarışıq mühitlərdə və ya Samba ilə inteqrasiya zamanı istifadə olunur.
Zəiflik GSSAPI-də müştəri və server tərəfindən istifadə edilən mühafizə üsullarını müzakirə etmək üçün istifadə edilən SPNEGO (Sadə və Qorunan GSSAPI Danışıqlar Mexanizmi) mexanizminin həyata keçirilməsində baş vermiş xəta nəticəsində yaranır. GSSAPI dinamik DNS zonası yeniləmələrinin autentifikasiyası prosesində istifadə edilən GSS-TSIG genişlənməsindən istifadə edərək təhlükəsiz açar mübadiləsi üçün yüksək səviyyəli protokol kimi istifadə olunur.
SPNEGO-nun daxili tətbiqində kritik zəifliklər əvvəllər aşkar edildiyi üçün bu protokolun tətbiqi BIND 9 kod bazasından silinmişdir.SPNEGO dəstəyinə ehtiyacı olan istifadəçilər üçün GSSAPI tərəfindən təmin edilən xarici tətbiqdən istifadə etmək tövsiyə olunur. sistem kitabxanası (MIT Kerberos və Heimdal Kerberos-da verilir).
BIND-in köhnə versiyalarının istifadəçiləri problemi bloklamaq üçün həll yolu kimi parametrlərdə GSS-TSIG-ni söndürə bilər (seçimlər tkey-gssapi-keytab və tkey-gssapi-etimadnamə) və ya SPNEGO mexanizmini dəstəkləmədən BIND-i yenidən qura bilərlər (seçim "- -disable-isc-spnego" "konfiqurasiya" skriptində). Dağıtımlarda yeniləmələrin mövcudluğunu aşağıdakı səhifələrdə izləyə bilərsiniz: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL və ALT Linux paketləri yerli SPNEGO dəstəyi olmadan qurulur.
Bundan əlavə, sözügedən BIND yeniləmələrində daha iki boşluq aradan qaldırılıb:
- CVE-2021-25215 — adlandırılmış proses DNAME qeydlərini emal edərkən qəzaya uğradı (alt domenlərin bir hissəsinin yönləndirilməsi emalı), CAVAB bölməsinə dublikatların əlavə edilməsinə səbəb oldu. Nüfuzlu DNS serverlərində zəiflikdən istifadə etmək emal edilmiş DNS zonalarında dəyişikliklərin edilməsini tələb edir və rekursiv serverlər üçün problemli qeyd səlahiyyətli serverlə əlaqə saxladıqdan sonra əldə edilə bilər.
- CVE-2021-25214 – Adlandırılmış proses xüsusi hazırlanmış daxil olan IXFR sorğusunu (DNS serverləri arasında DNS zonalarında dəyişiklikləri tədricən ötürmək üçün istifadə olunur) emal edərkən çökür. Problem yalnız təcavüzkarın serverindən DNS zonasının ötürülməsinə icazə verən sistemlərə təsir edir (adətən zona köçürmələri master və slave serverləri sinxronlaşdırmaq üçün istifadə olunur və seçmə olaraq yalnız etibarlı serverlər üçün icazə verilir). Təhlükəsizliyə qarşı həll yolu olaraq, “request-ixfr no;” parametrindən istifadə edərək IXFR dəstəyini söndürə bilərsiniz.
Mənbə: opennet.ru