ΠΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½ΠΈ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°ΡΠΈ Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π·Π° ΡΡΠ°Π±ΠΈΠ»Π½ΠΈΡΠ΅ ΠΊΠ»ΠΎΠ½ΠΎΠ²Π΅ Π½Π° BIND DNS ΡΡΡΠ²ΡΡΠ° 9.11.31 ΠΈ 9.16.15, ΠΊΠ°ΠΊΡΠΎ ΠΈ Π·Π° Π΅ΠΊΡΠΏΠ΅ΡΠΈΠΌΠ΅Π½ΡΠ°Π»Π½ΠΈΡ ΠΊΠ»ΠΎΠ½ 9.17.12, ΠΊΠΎΠΉΡΠΎ Π΅ Π² ΠΏΡΠΎΡΠ΅Ρ Π½Π° ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ°. ΠΠΎΠ²ΠΈΡΠ΅ Π²Π΅ΡΡΠΈΠΈ Π°Π΄ΡΠ΅ΡΠΈΡΠ°Ρ ΡΡΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, Π΅Π΄Π½Π° ΠΎΡ ΠΊΠΎΠΈΡΠΎ (CVE-2021-25216) ΠΏΡΠΈΡΠΈΠ½ΡΠ²Π° ΠΏΡΠ΅ΠΏΡΠ»Π²Π°Π½Π΅ Π½Π° Π±ΡΡΠ΅ΡΠ°. ΠΡΠΈ 32-Π±ΠΈΡΠΎΠ²ΠΈ ΡΠΈΡΡΠ΅ΠΌΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π·Π° Π΄ΠΈΡΡΠ°Π½ΡΠΈΠΎΠ½Π½ΠΎ ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ Π½Π° ΠΊΠΎΠ΄ Π½Π° Π°ΡΠ°ΠΊΡΠ²Π°Ρ ΡΡΠ΅Π· ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΠΈΠ·ΡΠ°Π±ΠΎΡΠ΅Π½Π° GSS-TSIG Π·Π°ΡΠ²ΠΊΠ°. ΠΡΠΈ 64 ΡΠΈΡΡΠ΅ΠΌΠΈ ΠΏΡΠΎΠ±Π»Π΅ΠΌΡΡ Π΅ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ Π΄ΠΎ ΡΡΠΈΠ²Π° Π½Π° ΠΏΠΎΡΠΎΡΠ΅Π½ΠΈΡ ΠΏΡΠΎΡΠ΅Ρ.
ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ ΡΠ΅ ΠΏΠΎΡΠ²ΡΠ²Π° ΡΠ°ΠΌΠΎ ΠΊΠΎΠ³Π°ΡΠΎ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΡΡ GSS-TSIG Π΅ Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½, Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½ Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ key-gssapi-keytab ΠΈ key-gssapi-credential. GSS-TSIG Π΅ Π΄Π΅Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½ Π² ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡΡΠ° ΠΏΠΎ ΠΏΠΎΠ΄ΡΠ°Π·Π±ΠΈΡΠ°Π½Π΅ ΠΈ ΠΎΠ±ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΎ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π² ΡΠΌΠ΅ΡΠ΅Π½ΠΈ ΡΡΠ΅Π΄ΠΈ, ΠΊΡΠ΄Π΅ΡΠΎ BIND ΡΠ΅ ΠΊΠΎΠΌΠ±ΠΈΠ½ΠΈΡΠ° Ρ Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠΈ Π½Π° Active Directory ΠΈΠ»ΠΈ ΠΏΡΠΈ ΠΈΠ½ΡΠ΅Π³ΡΠΈΡΠ°Π½Π΅ ΡΡΡ Samba.
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΏΡΠΈΡΠΈΠ½Π΅Π½Π° ΠΎΡ Π³ΡΠ΅ΡΠΊΠ° Π² ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ΡΠΎ Π½Π° ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΠ° SPNEGO (ΠΠΏΡΠΎΡΡΠ΅Π½ ΠΈ Π·Π°ΡΠΈΡΠ΅Π½ GSSAPI Negotiation Mechanism), ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ Π² GSSAPI Π·Π° Π΄ΠΎΠ³ΠΎΠ²Π°ΡΡΠ½Π΅ Π½Π° ΠΌΠ΅ΡΠΎΠ΄ΠΈΡΠ΅ Π·Π° Π·Π°ΡΠΈΡΠ°, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ΠΈ ΠΎΡ ΠΊΠ»ΠΈΠ΅Π½ΡΠ° ΠΈ ΡΡΡΠ²ΡΡΠ°. GSSAPI ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΠΊΠ°ΡΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ» ΠΎΡ Π²ΠΈΡΠΎΠΊΠΎ Π½ΠΈΠ²ΠΎ Π·Π° Π·Π°ΡΠΈΡΠ΅Π½ ΠΎΠ±ΠΌΠ΅Π½ Π½Π° ΠΊΠ»ΡΡΠΎΠ²Π΅ Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° ΡΠ°Π·ΡΠΈΡΠ΅Π½ΠΈΠ΅ΡΠΎ GSS-TSIG, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ΠΎ Π² ΠΏΡΠΎΡΠ΅ΡΠ° Π½Π° ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅ Π½Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° Π΄ΠΈΠ½Π°ΠΌΠΈΡΠ½ΠΈ DNS Π·ΠΎΠ½ΠΈ.
Π’ΡΠΉ ΠΊΠ°ΡΠΎ ΠΊΡΠΈΡΠΈΡΠ½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π²ΡΠ² Π²Π³ΡΠ°Π΄Π΅Π½Π°ΡΠ° ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΡ Π½Π° SPNEGO ΡΠ° ΠΎΡΠΊΡΠΈΡΠΈ ΠΏΠΎ-ΡΠ°Π½ΠΎ, Π²Π½Π΅Π΄ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΡΠΎΠ·ΠΈ ΠΏΡΠΎΡΠΎΠΊΠΎΠ» Π΅ ΠΏΡΠ΅ΠΌΠ°Ρ Π½Π°ΡΠΎ ΠΎΡ ΠΊΠΎΠ΄ΠΎΠ²Π°ΡΠ° Π±Π°Π·Π° Π½Π° BIND 9. ΠΠ° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ, ΠΊΠΎΠΈΡΠΎ ΡΠ΅ Π½ΡΠΆΠ΄Π°ΡΡ ΠΎΡ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π½Π° SPNEGO, ΡΠ΅ ΠΏΡΠ΅ΠΏΠΎΡΡΡΠ²Π° Π΄Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π²ΡΠ½ΡΠ½Π° ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΡ, ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π΅Π½Π° ΠΎΡ GSSAPI ΡΠΈΡΡΠ΅ΠΌΠ½Π° Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠ° (ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π΅Π½Π° Π² MIT Kerberos ΠΈ Heimdal Kerberos).
ΠΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈΡΠ΅ Π½Π° ΠΏΠΎ-ΡΡΠ°ΡΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° BIND, ΠΊΠ°ΡΠΎ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ Π·Π° Π±Π»ΠΎΠΊΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ°, ΠΌΠΎΠ³Π°Ρ Π΄Π° Π΄Π΅Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Ρ GSS-TSIG Π² Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ (ΠΎΠΏΡΠΈΠΈ tkey-gssapi-keytab ΠΈ key-gssapi-credential) ΠΈΠ»ΠΈ Π΄Π° ΠΈΠ·Π³ΡΠ°Π΄ΡΡ ΠΎΡΠ½ΠΎΠ²ΠΎ BIND Π±Π΅Π· ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π·Π° ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΠ° SPNEGO (ΠΎΠΏΡΠΈΡ "- -disable-isc-spnego" Π² ΡΠΊΡΠΈΠΏΡΠ° "configure"). ΠΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΡΠ»Π΅Π΄ΠΈΡΠ΅ Π½Π°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π² Π΄ΠΈΡΡΡΠΈΠ±ΡΡΠΈΠΈ Π½Π° ΡΠ»Π΅Π΄Π½ΠΈΡΠ΅ ΡΡΡΠ°Π½ΠΈΡΠΈ: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL ΠΈ ALT Linux ΠΏΠ°ΠΊΠ΅ΡΠΈΡΠ΅ ΡΠ° ΠΈΠ·Π³ΡΠ°Π΄Π΅Π½ΠΈ Π±Π΅Π· ΡΠΎΠ±ΡΡΠ²Π΅Π½Π° ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π½Π° SPNEGO.
ΠΡΠ²Π΅Π½ ΡΠΎΠ²Π° Π²ΡΠ² Π²ΡΠΏΡΠΎΡΠ½ΠΈΡΠ΅ Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° BIND ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½ΠΈ ΠΎΡΠ΅ Π΄Π²Π΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:
- CVE-2021-25215 β ΠΏΠΎΡΠΎΡΠ΅Π½ΠΈΡΡ ΠΏΡΠΎΡΠ΅Ρ ΡΠ΅ ΡΡΠΈΠ²Π° ΠΏΡΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° DNAME Π·Π°ΠΏΠΈΡΠΈ (ΠΏΡΠ΅Π½Π°ΡΠΎΡΠ²Π°Π½Π΅ Π½Π° ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° ΡΠ°ΡΡ ΠΎΡ ΠΏΠΎΠ΄Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ), ΠΊΠΎΠ΅ΡΠΎ Π²ΠΎΠ΄ΠΈ Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΡΠ½Π΅ Π½Π° Π΄ΡΠ±Π»ΠΈΠΊΠ°ΡΠΈ ΠΊΡΠΌ ΡΠ΅ΠΊΡΠΈΡΡΠ° ΠΠ’ΠΠΠΠΠ . ΠΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ΡΠΎ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π° Π°Π²ΡΠΎΡΠΈΡΠ΅ΡΠ½ΠΈ DNS ΡΡΡΠ²ΡΡΠΈ ΠΈΠ·ΠΈΡΠΊΠ²Π° ΠΈΠ·Π²ΡΡΡΠ²Π°Π½Π΅ Π½Π° ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π² ΠΎΠ±ΡΠ°Π±ΠΎΡΠ΅Π½ΠΈΡΠ΅ DNS Π·ΠΎΠ½ΠΈ, Π° Π·Π° ΡΠ΅ΠΊΡΡΡΠΈΠ²Π½ΠΈ ΡΡΡΠ²ΡΡΠΈ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ½ΠΈΡΡ Π·Π°ΠΏΠΈΡ ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ ΠΏΠΎΠ»ΡΡΠ΅Π½ ΡΠ»Π΅Π΄ ΡΠ²ΡΡΠ·Π²Π°Π½Π΅ Ρ Π°Π²ΡΠΎΡΠΈΡΠ΅ΡΠ½ΠΈΡ ΡΡΡΠ²ΡΡ.
- CVE-2021-25214 β ΠΠΎΡΠΎΡΠ΅Π½ΠΈΡΡ ΠΏΡΠΎΡΠ΅Ρ ΡΠ΅ ΡΡΠΈΠ²Π° ΠΏΡΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΠΈΠ·ΡΠ°Π±ΠΎΡΠ΅Π½Π° Π²Ρ ΠΎΠ΄ΡΡΠ° IXFR Π·Π°ΡΠ²ΠΊΠ° (ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π° Π·Π° ΠΏΠΎΡΡΠ΅ΠΏΠ΅Π½Π½ΠΎ ΠΏΡΠ΅Ρ Π²ΡΡΠ»ΡΠ½Π΅ Π½Π° ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π² DNS Π·ΠΎΠ½ΠΈ ΠΌΠ΅ΠΆΠ΄Ρ DNS ΡΡΡΠ²ΡΡΠΈ). ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ Π·Π°ΡΡΠ³Π° ΡΠ°ΠΌΠΎ ΡΠΈΡΡΠ΅ΠΌΠΈ, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΡΠ°Π·ΡΠ΅ΡΠΈΠ»ΠΈ ΠΏΡΠ΅Ρ Π²ΡΡΠ»ΡΠ½ΠΈΡ Π½Π° DNS Π·ΠΎΠ½ΠΈ ΠΎΡ ΡΡΡΠ²ΡΡΠ° Π½Π° Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡ (ΠΎΠ±ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΎ ΠΏΡΠ΅Ρ Π²ΡΡΠ»ΡΠ½ΠΈΡΡΠ° Π½Π° Π·ΠΎΠ½ΠΈ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π·Π° ΡΠΈΠ½Ρ ΡΠΎΠ½ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° Π³Π»Π°Π²Π½ΠΈ ΠΈ ΠΏΠΎΠ΄ΡΠΈΠ½Π΅Π½ΠΈ ΡΡΡΠ²ΡΡΠΈ ΠΈ ΡΠ° ΡΠ°Π·ΡΠ΅ΡΠ΅Π½ΠΈ ΠΈΠ·Π±ΠΈΡΠ°ΡΠ΅Π»Π½ΠΎ ΡΠ°ΠΌΠΎ Π·Π° Π½Π°Π΄Π΅ΠΆΠ΄Π½ΠΈ ΡΡΡΠ²ΡΡΠΈ). ΠΠ°ΡΠΎ Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»Π½ΠΎ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ Π·Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° Π΄Π΅Π°ΠΊΡΠΈΠ²ΠΈΡΠ°ΡΠ΅ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ°ΡΠ° Π½Π° IXFR, ΠΊΠ°ΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠ°ΡΠ° βrequest-ixfr no;β.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru