S'han publicat actualitzacions correctives per a les branques estables del servidor BIND DNS 9.11.31 i 9.16.15, així com per a la branca experimental 9.17.12, que està en desenvolupament. Les noves versions aborden tres vulnerabilitats, una de les quals (CVE-2021-25216) provoca un desbordament de memòria intermèdia. En sistemes de 32 bits, la vulnerabilitat es pot explotar per executar de forma remota el codi d'un atacant enviant una sol·licitud GSS-TSIG especialment dissenyada. En sistemes 64, el problema es limita a la fallada del procés anomenat.
El problema només apareix quan el mecanisme GSS-TSIG està habilitat, activat mitjançant la configuració tkey-gssapi-keytab i tkey-gssapi-credential. GSS-TSIG està desactivat a la configuració predeterminada i s'utilitza normalment en entorns mixts on BIND es combina amb controladors de domini Active Directory o quan s'integra amb Samba.
La vulnerabilitat és causada per un error en la implementació del mecanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), utilitzat a GSSAPI per negociar els mètodes de protecció utilitzats pel client i el servidor. GSSAPI s'utilitza com a protocol d'alt nivell per a l'intercanvi de claus segur mitjançant l'extensió GSS-TSIG utilitzada en el procés d'autenticació d'actualitzacions dinàmiques de zones DNS.
Com que anteriorment s'han trobat vulnerabilitats crítiques en la implementació integrada de SPNEGO, la implementació d'aquest protocol s'ha eliminat de la base de codi BIND 9. Per als usuaris que necessiten suport SPNEGO, es recomana utilitzar una implementació externa proporcionada per GSSAPI. biblioteca del sistema (proporcionada a MIT Kerberos i Heimdal Kerberos).
Els usuaris de versions anteriors de BIND, com a solució alternativa per bloquejar el problema, poden desactivar GSS-TSIG a la configuració (opcions tkey-gssapi-keytab i tkey-gssapi-credential) o reconstruir BIND sense suport per al mecanisme SPNEGO (opció "- -disable-isc-spnego" a l'script "configure"). Podeu fer un seguiment de la disponibilitat d'actualitzacions a les distribucions a les pàgines següents: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Els paquets RHEL i ALT Linux es creen sense suport natiu de SPNEGO.
A més, es solucionen dues vulnerabilitats més a les actualitzacions de BIND en qüestió:
- CVE-2021-25215: el procés anomenat es va bloquejar en processar registres DNAME (processament de redirecció de part dels subdominis), cosa que va provocar l'addició de duplicats a la secció RESPOSTA. L'explotació de la vulnerabilitat en servidors DNS autoritzats requereix fer canvis a les zones DNS processades i, per als servidors recursius, el registre problemàtic es pot obtenir després de contactar amb el servidor autoritzat.
- CVE-2021-25214: el procés anomenat es bloqueja quan es processa una sol·licitud IXFR entrant especialment dissenyada (utilitzada per transferir de manera incremental els canvis a les zones DNS entre servidors DNS). El problema només afecta els sistemes que han permès transferències de zones DNS des del servidor de l'atacant (normalment les transferències de zones s'utilitzen per sincronitzar servidors mestres i esclaus i només es permeten selectivament per a servidors de confiança). Com a solució de seguretat, podeu desactivar el suport IXFR mitjançant la configuració "request-ixfr no;".
Font: opennet.ru