Актуализиране на BIND DNS сървъра за отстраняване на уязвимост при отдалечено изпълнение на код

Публикувани са коригиращи актуализации за стабилните клонове на BIND DNS сървъра 9.11.31 и 9.16.15, както и за експерименталния клон 9.17.12, който е в процес на разработка. Новите версии адресират три уязвимости, една от които (CVE-2021-25216) причинява препълване на буфера. При 32-битови системи уязвимостта може да се използва за дистанционно изпълнение на код на атакуващ чрез изпращане на специално изработена GSS-TSIG заявка. При 64 системи проблемът е ограничен до срива на посочения процес.

Проблемът се появява само когато механизмът GSS-TSIG е активиран, активиран с помощта на настройките key-gssapi-keytab и key-gssapi-credential. GSS-TSIG е деактивиран в конфигурацията по подразбиране и обикновено се използва в смесени среди, където BIND се комбинира с домейн контролери на Active Directory или при интегриране със Samba.

Уязвимостта е причинена от грешка в изпълнението на механизма SPNEGO (Опростен и защитен GSSAPI Negotiation Mechanism), използван в GSSAPI за договаряне на методите за защита, използвани от клиента и сървъра. GSSAPI се използва като протокол от високо ниво за защитен обмен на ключове с помощта на разширението GSS-TSIG, използвано в процеса на удостоверяване на актуализации на динамични DNS зони.

Тъй като критични уязвимости във вградената реализация на SPNEGO са открити по-рано, внедряването на този протокол е премахнато от кодовата база на BIND 9. За потребители, които се нуждаят от поддръжка на SPNEGO, се препоръчва да използват външна реализация, предоставена от GSSAPI системна библиотека (предоставена в MIT Kerberos и Heimdal Kerberos).

Потребителите на по-стари версии на BIND, като решение за блокиране на проблема, могат да деактивират GSS-TSIG в настройките (опции tkey-gssapi-keytab и key-gssapi-credential) или да изградят отново BIND без поддръжка за механизма SPNEGO (опция "- -disable-isc-spnego" в скрипта "configure"). Можете да следите наличието на актуализации в дистрибуции на следните страници: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL и ALT Linux пакетите са изградени без собствена поддръжка на SPNEGO.

Освен това във въпросните актуализации на BIND са коригирани още две уязвимости:

• CVE-2021-25215 — посоченият процес се срива при обработка на DNAME записи (пренасочване на обработка на част от поддомейни), което води до добавяне на дубликати към секцията ОТГОВОР. Използването на уязвимостта на авторитетни DNS сървъри изисква извършване на промени в обработените DNS зони, а за рекурсивни сървъри проблемният запис може да бъде получен след свързване с авторитетния сървър.
• CVE-2021-25214 – Посоченият процес се срива при обработка на специално изработена входяща IXFR заявка (използвана за постепенно прехвърляне на промени в DNS зони между DNS сървъри). Проблемът засяга само системи, които са разрешили прехвърляния на DNS зони от сървъра на атакуващия (обикновено прехвърлянията на зони се използват за синхронизиране на главни и подчинени сървъри и са разрешени избирателно само за надеждни сървъри). Като заобиколно решение за сигурност можете да деактивирате поддръжката на IXFR, като използвате настройката „request-ixfr no;“.

Източник: opennet.ru