Апублікаваны якія карэктуюць абнаўленні стабільных галінак DNS-сервера BIND 9.11.31 і 9.16.15, а таксама змешчанай у распрацоўцы эксперыментальнай галіны 9.17.12. У новых выпусках ухілены тры ўразлівасці, адна з якіх (CVE-2021-25216) прыводзіць да перапаўнення буфера. На 32-разрадных сістэмах уразлівасць можа быць эксплуатаваная для выдаленага выканання кода зламысніка праз адпраўку спецыяльна аформленага запыту GSS-TSIG. На 64-сістэмах праблема абмяжоўваецца крахам працэсу named.
Праблема выяўляецца толькі пры ўключэнні механізму GSS-TSIG, які актывуецца пры дапамозе налад tkey-gssapi-keytab і tkey-gssapi-credential. GSS-TSIG адключаны ў канфігурацыі па змаўчанні і звычайна прымяняецца ў змешаных асяродках, у якіх BIND спалучаецца з кантролерамі дамена Active Directory, або пры інтэграцыі з Samba.
Уразлівасць выклікана памылкай у рэалізацыі механізму SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), які ўжываецца ў GSSAPI для ўзгаднення выкарыстоўваных кліентам і серверам метадаў абароны. GSSAPI выкарыстоўваецца ў якасці высокаўзроўневага пратакола для абароненага абмену ключамі пры дапамозе пашырэння GSS-TSIG, які ўжываецца падчас праверкі сапраўднасці дынамічных абнаўленняў DNS-зон.
Бо крытычныя ўразлівасці ва ўбудаванай рэалізацыі SPNEGO знаходзілі і раней, рэалізацыя дадзенага пратакола выдаленая з кодавай базы BIND 9. Для карыстачоў, якім неабходна падтрымка SPNEGO, рэкамендавана выкарыстоўваць вонкавую рэалізацыю, якая прадстаўляецца сістэмнай бібліятэкай GSSAPI (прадастаўляецца ў MIT Kerberos і Heimdal Ker.
Карыстальнікі старых версій BIND у якасці абыходнага шляху блакавання праблемы могуць адключыць GSS-TSIG у наладах (параметры tkey-gssapi-keytab і tkey-gssapi-credential) або перазбіраць BIND без падтрымкі механізму SPNEGO (опцыя «—disable-isc-spnego» у скрыпце "configure"). Прасачыць за з'яўленнем абнаўленняў у дыстрыбутывах можна на старонках: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Пакеты RHEL і ALT Linux збіраюцца без убудаванай падтрымкі SPNEGO.
Дадаткова ў разгляданых абнаўленнях BIND ухілена яшчэ дзве ўразлівасці:
- CVE-2021-25215 - крах працэсу named пры апрацоўцы запісаў DNAME (рэдырэкт апрацоўкі часткі паддаменаў), якія прыводзяць да дадання ў секцыю ANSWER дублікатаў. Для эксплуатацыі ўразлівасці на аўтарытэтных DNS-серверах патрабуецца занясенне змен у апрацоўваныя DNS-зоны, а для рэкурсіўных сервераў праблемны запіс можа быць атрымана пасля звароту да аўтарытэтнага сервера.
- CVE-2021-25214 - крах працэсу named пры апрацоўцы спецыяльна аформленага ўваходнага запыту IXFR (выкарыстоўваецца для інкрыментальнай перадачы паміж DNS-серверамі змен у зонах DNS). Праблеме схільныя толькі сістэмы, якія дазволілі перадачу зон DNS з сервера атакавалага (звычайна перадача зон выкарыстоўваецца для сінхранізацыі master- і slave-сервераў і выбарачна дазваляецца толькі для вартых давер сервераў). У якасці абыходнага шляху абароны можна адключыць падтрымку IXFR пры дапамозе налады "request-ixfr no;".
Крыніца: opennet.ru