Objavljena su korektivna ažuriranja za stabilne grane BIND DNS servera 9.11.31 i 9.16.15, kao i za eksperimentalnu granu 9.17.12 koja je u razvoju. Nova izdanja rješavaju tri ranjivosti, od kojih jedna (CVE-2021-25216) uzrokuje prelijevanje bafera. Na 32-bitnim sistemima, ranjivost se može iskoristiti za daljinsko izvršavanje napadačevog koda slanjem posebno kreiranog GSS-TSIG zahtjeva. Na 64 sistema problem je ograničen na pad imenovanog procesa.
Problem se pojavljuje samo kada je mehanizam GSS-TSIG omogućen, aktiviran pomoću postavki key-gssapi-keytab i tkey-gssapi-credential. GSS-TSIG je onemogućen u podrazumevanoj konfiguraciji i obično se koristi u mešovitim okruženjima gde je BIND kombinovan sa Active Directory domenskim kontrolerima ili kada se integriše sa Sambom.
Ranjivost je uzrokovana greškom u implementaciji SPNEGO mehanizma (Simple and Protected GSSAPI Negotiation Mechanism), koji se koristi u GSSAPI za pregovaranje o metodama zaštite koje koriste klijent i server. GSSAPI se koristi kao protokol visokog nivoa za sigurnu razmjenu ključeva koristeći GSS-TSIG ekstenziju koja se koristi u procesu provjere autentičnosti dinamičkih ažuriranja DNS zona.
Budući da su ranije pronađene kritične ranjivosti u ugrađenoj implementaciji SPNEGO-a, implementacija ovog protokola je uklonjena iz baze kodova BIND 9. Za korisnike kojima je potrebna SPNEGO podrška, preporučuje se korištenje eksterne implementacije koju obezbjeđuje GSSAPI sistemska biblioteka (obezbeđena u MIT Kerberos i Heimdal Kerberos).
Korisnici starijih verzija BIND-a, kao rješenje za blokiranje problema, mogu onemogućiti GSS-TSIG u postavkama (opcije tkey-gssapi-keytab i tkey-gssapi-credential) ili ponovo izgraditi BIND bez podrške za SPNEGO mehanizam (opcija "- -disable-isc-spnego" u skripti "configure"). Dostupnost ažuriranja u distribucijama možete pratiti na sljedećim stranicama: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL i ALT Linux paketi su napravljeni bez izvorne SPNEGO podrške.
Dodatno, još dvije ranjivosti su popravljene u dotičnim ažuriranjima BIND-a:
- CVE-2021-25215 — imenovani proces se srušio prilikom obrade DNAME zapisa (preusmjeravanje obrade dijela poddomena), što je dovelo do dodavanja duplikata u odjeljak ODGOVORI. Iskorišćavanje ranjivosti na autoritativnim DNS serverima zahtijeva promjenu obrađenih DNS zona, a za rekurzivne servere, problematični zapis se može dobiti nakon kontaktiranja ovlaštenog servera.
- CVE-2021-25214 – Imenovani proces pada prilikom obrade posebno kreiranog dolaznog IXFR zahtjeva (koristi se za postepeni prijenos promjena u DNS zonama između DNS servera). Problem pogađa samo sisteme koji su dozvolili prenos DNS zona sa servera koji napada (obično se transferi zona koriste za sinhronizaciju glavnog i slave servera i selektivno su dozvoljeni samo za pouzdane servere). Kao sigurnosno rješenje, možete onemogućiti podršku za IXFR koristeći postavku “request-ixfr no;”.
izvor: opennet.ru