Ang mga pag-update sa pagtul-id gimantala alang sa mga lig-on nga sanga sa BIND DNS server 9.11.31 ug 9.16.15, ingon man usab sa eksperimento nga sanga 9.17.12, nga anaa sa pag-uswag. Ang mga bag-ong pagpagawas nagtubag sa tulo ka mga kahuyangan, usa niini (CVE-2021-25216) hinungdan sa usa ka buffer overflow. Sa 32-bit nga mga sistema, ang pagkahuyang mahimong mapahimuslan sa layo nga pagpatuman sa code sa tig-atake pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga GSS-TSIG nga hangyo. Sa 64 nga mga sistema ang problema limitado sa pagkahagsa sa ginganlan nga proseso.
Ang problema makita lamang kung ang GSS-TSIG nga mekanismo gipagana, gi-activate gamit ang tkey-gssapi-keytab ug tkey-gssapi-credential settings. Ang GSS-TSIG kay disabled sa default configuration ug kasagarang gigamit sa mixed environment diin ang BIND gikombinar sa Active Directory domain controllers, o kung nag-integrate sa Samba.
Ang pagkahuyang tungod sa usa ka sayup sa pagpatuman sa SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) nga mekanismo, nga gigamit sa GSSAPI aron makigsabot sa mga pamaagi sa pagpanalipod nga gigamit sa kliyente ug server. Ang GSSAPI gigamit isip taas nga lebel nga protocol alang sa luwas nga key exchange gamit ang GSS-TSIG extension nga gigamit sa proseso sa pag-authenticate sa dinamikong DNS zone updates.
Tungod kay ang mga kritikal nga kahuyangan sa built-in nga pagpatuman sa SPNEGO nakit-an kaniadto, ang pagpatuman niini nga protocol gikuha gikan sa BIND 9 code base. sistema sa librarya (gihatag sa MIT Kerberos ug Heimdal Kerberos).
Ang mga tiggamit sa mas karaan nga mga bersyon sa BIND, isip usa ka workaround alang sa pagbabag sa problema, mahimong ma-disable ang GSS-TSIG sa mga setting (mga opsyon nga tkey-gssapi-keytab ug tkey-gssapi-credential) o pagtukod pag-usab sa BIND nga walay suporta alang sa SPNEGO nga mekanismo (opsyon "- -disable-isc-spnego" sa script nga "configure"). Mahimo nimong masubay ang pagkaanaa sa mga update sa mga distribusyon sa mosunod nga mga panid: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Ang mga pakete sa RHEL ug ALT Linux gitukod nga walaβy suporta sa lumad nga SPNEGO.
Dugang pa, duha pa nga mga kahuyangan ang gitakda sa mga pag-update sa BIND nga gipangutana:
- CVE-2021-25215 β ang gihinganlan nga proseso nahagsa sa dihang nagproseso sa mga rekord sa DNAME (pagproseso sa pag-redirect sa bahin sa mga subdomain), nga mitultol sa pagdugang sa mga duplicate sa ANSWER section. Ang pagpahimulos sa pagkahuyang sa mga awtoritatibo nga DNS server nanginahanglan paghimo og mga pagbag-o sa giproseso nga mga DNS zone, ug alang sa mga recursive server, ang problema nga rekord mahimong makuha pagkahuman makontak ang awtoritatibo nga server.
- CVE-2021-25214 - Ang gihinganlan nga proseso nag-crash sa dihang nagproseso sa usa ka espesyal nga gihimo nga umaabot nga IXFR nga hangyo (gigamit sa incrementally pagbalhin sa mga kausaban sa DNS zones tali sa DNS servers). Ang problema makaapekto lamang sa mga sistema nga nagtugot sa DNS zone transfers gikan sa tig-atake sa server (kasagaran zone transfer gigamit sa pag-synchronize sa master ug slave server ug pinili nga gitugotan lamang alang sa kasaligan nga mga server). Isip usa ka solusyon sa seguridad, mahimo nimong i-disable ang suporta sa IXFR gamit ang setting nga "request-ixfr no;".
Source: opennet.ru