Byly zveřejněny opravné aktualizace pro stabilní větve BIND DNS serveru 9.11.31 a 9.16.15 a také experimentální větev 9.17.12, která je ve vývoji. Nové verze řeší tři chyby zabezpečení, z nichž jedna (CVE-2021-25216) způsobuje přetečení vyrovnávací paměti. Na 32bitových systémech lze tuto chybu zabezpečení zneužít ke vzdálenému spuštění kódu útočníka odesláním speciálně vytvořeného požadavku GSS-TSIG. Na 64 systémech je problém omezen na selhání jmenovaného procesu.
Problém se objeví pouze v případě, že je povolen mechanismus GSS-TSIG aktivovaný pomocí nastavení tkey-gssapi-keytab a tkey-gssapi-credential. GSS-TSIG je ve výchozí konfiguraci zakázán a obvykle se používá ve smíšených prostředích, kde je BIND kombinován s řadiči domény Active Directory, nebo při integraci se Sambou.
Tato chyba zabezpečení je způsobena chybou v implementaci mechanismu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), který se v GSSAPI používá k vyjednávání metod ochrany používaných klientem a serverem. GSSAPI se používá jako protokol na vysoké úrovni pro zabezpečenou výměnu klíčů pomocí rozšíření GSS-TSIG používaného v procesu ověřování dynamických aktualizací zóny DNS.
Protože byly již dříve nalezeny kritické zranitelnosti ve vestavěné implementaci SPNEGO, byla implementace tohoto protokolu odstraněna z kódové báze BIND 9. Pro uživatele, kteří vyžadují podporu SPNEGO, se doporučuje použít externí implementaci poskytovanou GSSAPI. systémová knihovna (poskytovaná v MIT Kerberos a Heimdal Kerberos).
Uživatelé starších verzí BIND, jako řešení pro zablokování problému, mohou zakázat GSS-TSIG v nastavení (volby tkey-gssapi-keytab a tkey-gssapi-credential) nebo znovu sestavit BIND bez podpory mechanismu SPNEGO (volba "- -disable-isc-spnego" ve skriptu "configure"). Dostupnost aktualizací v distribucích můžete sledovat na následujících stránkách: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Balíčky RHEL a ALT Linux jsou sestaveny bez nativní podpory SPNEGO.
Kromě toho jsou v příslušných aktualizacích BIND opraveny dvě další chyby zabezpečení:
- CVE-2021-25215 — pojmenovaný proces selhal při zpracování záznamů DNAME (přesměrování části subdomén), což vedlo k přidání duplikátů do sekce ANSWER. Zneužití chyby zabezpečení na autoritativních serverech DNS vyžaduje provedení změn ve zpracovaných zónách DNS a u rekurzivních serverů lze problematický záznam získat po kontaktování autoritativního serveru.
- CVE-2021-25214 – Jmenovaný proces se zhroutí při zpracování speciálně vytvořeného příchozího požadavku IXFR (používá se k postupnému přenosu změn v zónách DNS mezi servery DNS). Problém se týká pouze systémů, které povolily přenos DNS zón z útočícího serveru (přenosy zón se obvykle používají k synchronizaci master a slave serverů a jsou selektivně povoleny pouze pro důvěryhodné servery). Jako řešení zabezpečení můžete zakázat podporu IXFR pomocí nastavení „request-ixfr no;“.
Zdroj: opennet.ru