দূরবর্তী কোড কার্যকর করার দুর্বলতা ঠিক করতে BIND DNS সার্ভার আপডেট করা হচ্ছে

BIND DNS সার্ভার 9.11.31 এবং 9.16.15 এর স্থিতিশীল শাখার পাশাপাশি পরীক্ষামূলক শাখা 9.17.12-এর জন্য সংশোধনমূলক আপডেট প্রকাশিত হয়েছে, যা বিকাশে রয়েছে। নতুন রিলিজ তিনটি দুর্বলতার কথা বলে, যার মধ্যে একটি (CVE-2021-25216) একটি বাফার ওভারফ্লো ঘটায়। 32-বিট সিস্টেমে, বিশেষভাবে তৈরি করা GSS-TSIG অনুরোধ পাঠিয়ে আক্রমণকারীর কোড দূরবর্তীভাবে চালানোর জন্য দুর্বলতাকে কাজে লাগানো যেতে পারে। 64 সিস্টেমে সমস্যাটি নামযুক্ত প্রক্রিয়ার ক্র্যাশের মধ্যে সীমাবদ্ধ।

সমস্যাটি তখনই দেখা যায় যখন GSS-TSIG মেকানিজম সক্রিয় থাকে, tkey-gssapi-keytab এবং tkey-gssapi-প্রমাণপত্র সেটিংস ব্যবহার করে সক্রিয় করা হয়। GSS-TSIG ডিফল্ট কনফিগারেশনে নিষ্ক্রিয় করা হয় এবং সাধারণত মিশ্র পরিবেশে ব্যবহৃত হয় যেখানে BIND অ্যাক্টিভ ডিরেক্টরি ডোমেন কন্ট্রোলারের সাথে একত্রিত হয়, বা সাম্বার সাথে একীভূত করার সময়।

ক্লায়েন্ট এবং সার্ভারের দ্বারা ব্যবহৃত সুরক্ষা পদ্ধতি নিয়ে আলোচনার জন্য GSSAPI-তে ব্যবহৃত SPNEGO (সরল এবং সুরক্ষিত GSSAPI নেগোশিয়েশন মেকানিজম) পদ্ধতির বাস্তবায়নে ত্রুটির কারণে দুর্বলতা সৃষ্টি হয়। গতিশীল DNS জোন আপডেট প্রমাণীকরণের প্রক্রিয়ায় ব্যবহৃত GSS-TSIG এক্সটেনশন ব্যবহার করে নিরাপদ কী বিনিময়ের জন্য GSSAPI একটি উচ্চ-স্তরের প্রোটোকল হিসাবে ব্যবহৃত হয়।

যেহেতু SPNEGO-এর অন্তর্নির্মিত বাস্তবায়নে গুরুতর দুর্বলতাগুলি আগে পাওয়া গেছে, এই প্রোটোকলের বাস্তবায়ন BIND 9 কোড বেস থেকে সরানো হয়েছে৷ যে ব্যবহারকারীদের SPNEGO সমর্থন প্রয়োজন তাদের জন্য GSSAPI দ্বারা প্রদত্ত একটি বাহ্যিক বাস্তবায়ন ব্যবহার করার পরামর্শ দেওয়া হচ্ছে৷ সিস্টেম লাইব্রেরি (MIT Kerberos এবং Heimdal Kerberos-এ দেওয়া)।

BIND এর পুরানো সংস্করণের ব্যবহারকারীরা, সমস্যাটি ব্লক করার জন্য একটি সমাধান হিসাবে, সেটিংসে GSS-TSIG অক্ষম করতে পারেন (বিকল্প tkey-gssapi-keytab এবং tkey-gssapi-credential) অথবা SPNEGO প্রক্রিয়ার সমর্থন ছাড়াই BIND পুনর্নির্মাণ করতে পারেন (বিকল্প "- -অক্ষম-isc-spnego" স্ক্রিপ্টে "কনফিগার করুন")। আপনি নিম্নলিখিত পৃষ্ঠাগুলিতে বিতরণে আপডেটের উপলব্ধতা ট্র্যাক করতে পারেন: ডেবিয়ান, SUSE, উবুন্টু, ফেডোরা, আর্চ লিনাক্স, ফ্রিবিএসডি, নেটবিএসডি। RHEL এবং ALT Linux প্যাকেজগুলি নেটিভ SPNEGO সমর্থন ছাড়াই তৈরি করা হয়।

অতিরিক্তভাবে, প্রশ্নে BIND আপডেটগুলিতে আরও দুটি দুর্বলতা সংশোধন করা হয়েছে:

• CVE-2021-25215 — DNAME রেকর্ডগুলি প্রক্রিয়া করার সময় নামযুক্ত প্রক্রিয়াটি ক্র্যাশ হয়ে যায় (সাবডোমেনের অংশের পুনঃনির্দেশ প্রক্রিয়াকরণ), যার ফলে উত্তর বিভাগে সদৃশগুলি যুক্ত হয়। প্রামাণিক ডিএনএস সার্ভারের দুর্বলতা কাজে লাগানোর জন্য প্রক্রিয়াকৃত ডিএনএস জোনগুলিতে পরিবর্তন করতে হবে এবং পুনরাবৃত্ত সার্ভারগুলির জন্য, প্রামাণিক সার্ভারের সাথে যোগাযোগ করার পরে সমস্যাযুক্ত রেকর্ড প্রাপ্ত করা যেতে পারে।
• CVE-2021-25214 – একটি বিশেষভাবে তৈরি করা ইনকামিং IXFR অনুরোধ প্রক্রিয়া করার সময় নামকৃত প্রক্রিয়াটি ক্র্যাশ হয়ে যায় (DNS সার্ভারের মধ্যে DNS জোনে ক্রমবর্ধমান পরিবর্তন স্থানান্তর করতে ব্যবহৃত হয়)। সমস্যাটি কেবলমাত্র সেই সিস্টেমগুলিকে প্রভাবিত করে যেগুলি আক্রমণকারীর সার্ভার থেকে DNS জোন স্থানান্তরের অনুমতি দিয়েছে (সাধারণত জোন স্থানান্তরগুলি মাস্টার এবং স্লেভ সার্ভারগুলিকে সিঙ্ক্রোনাইজ করতে ব্যবহৃত হয় এবং শুধুমাত্র বিশ্বস্ত সার্ভারগুলির জন্য বেছে বেছে অনুমোদিত হয়)৷ একটি নিরাপত্তা সমাধান হিসাবে, আপনি "request-ixfr no;" সেটিং ব্যবহার করে IXFR সমর্থন নিষ্ক্রিয় করতে পারেন৷

উত্স: opennet.ru