L'aghjurnamenti currettivi sò stati publicati per i rami stabili di u servitore BIND DNS 9.11.31 è 9.16.15, è ancu a branche sperimentale 9.17.12, chì hè in sviluppu. I novi versioni affrontanu trè vulnerabilità, una di e quali (CVE-2021-25216) provoca un overflow di buffer. In i sistemi 32-bit, a vulnerabilità pò esse sfruttata per eseguisce remotamente u codice di l'attaccu mandendu una dumanda GSS-TSIG apposta. Nantu à i sistemi 64 u prublema hè limitata à u crash di u prucessu chjamatu.
U prublema solu appare quandu u mecanismu GSS-TSIG hè attivatu, attivatu cù i paràmetri tkey-gssapi-keytab è tkey-gssapi-credential. GSS-TSIG hè disattivatu in a cunfigurazione predeterminata è hè tipicamente utilizatu in ambienti misti induve BIND hè cumminatu cù i controller di domini Active Directory, o quandu si integra cù Samba.
A vulnerabilità hè causata da un errore in l'implementazione di u mecanismu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), utilizatu in GSSAPI per negocià i metudi di prutezzione utilizati da u cliente è u servitore. GSSAPI hè utilizatu cum'è un protokollu d'altu livellu per u scambiu di chjave sicuru utilizendu l'estensione GSS-TSIG utilizata in u prucessu di autentificazione di l'aghjurnamenti dinamichi di a zona DNS.
Perchè e vulnerabilità critiche in l'implementazione integrata di SPNEGO sò state trovate prima, l'implementazione di stu protokollu hè stata eliminata da a basa di codice BIND 9. Per l'utilizatori chì necessitanu supportu SPNEGO, hè cunsigliatu di utilizà una implementazione esterna furnita da u GSSAPI. biblioteca di sistema (furnita in MIT Kerberos è Heimdal Kerberos).
L'utilizatori di versioni più vechje di BIND, cum'è una soluzione per bluccà u prublema, ponu disattivà GSS-TSIG in i paràmetri (opzioni tkey-gssapi-keytab è tkey-gssapi-credential) o ricustruisce BIND senza supportu per u mecanismu SPNEGO (opzione "- -disable-isc-spnego" in script "configure"). Pudete seguità a dispunibilità di l'aghjurnamenti in e distribuzioni in e seguenti pagine: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. I pacchetti RHEL è ALT Linux sò custruiti senza supportu nativu SPNEGO.
Inoltre, duie altre vulnerabilità sò risolte in l'aghjurnamenti BIND in quistione:
- CVE-2021-25215 - u prucessu chjamatu hè cascatu quandu si trattava i registri DNAME (trasformazione di redirezzione di parte di sottodominii), purtendu à l'aghjunzione di duplicati à a sezione RISPOSTA. Sfruttà a vulnerabilità nantu à i servitori DNS autoritarii richiede di fà cambiamenti à i zoni DNS processati, è per i servitori recursivi, u registru problematicu pò esse acquistatu dopu avè cuntattatu u servitore autoritariu.
- CVE-2021-25214 - U prucessu chjamatu crashes quandu si tratta una dumanda IXFR in entrata apposta (aduprata per trasferisce gradualmente cambiamenti in e zone DNS trà i servitori DNS). U prublema afecta solu i sistemi chì anu permessu u trasferimentu di e zoni DNS da u servitore attaccu (di solitu i trasferimenti di zona sò usati per sincronizà i servitori maestri è slave è sò selettivamente permessi solu per i servitori di fiducia). Cum'è una soluzione di sicurezza, pudete disattivà u supportu IXFR usendu l'impostazione "request-ixfr no;".
Source: opennet.ru