Mae diweddariadau cywirol wedi'u cyhoeddi ar gyfer canghennau sefydlog gweinydd DNS BIND 9.11.31 a 9.16.15, yn ogystal â'r gangen arbrofol 9.17.12, sy'n cael ei datblygu. Mae'r datganiadau newydd yn mynd i'r afael â thri gwendid, ac mae un ohonynt (CVE-2021-25216) yn achosi gorlif byffer. Ar systemau 32-did, gellir manteisio ar y bregusrwydd i weithredu cod ymosodwr o bell trwy anfon cais GSS-TSIG a luniwyd yn arbennig. Ar 64 o systemau mae'r broblem wedi'i chyfyngu i ddamwain y broses a enwir.
Mae'r broblem ond yn ymddangos pan fydd y mecanwaith GSS-TSIG wedi'i alluogi, wedi'i actifadu gan ddefnyddio'r gosodiadau tkey-gssapi-keytab a tkey-gssapi-credential. Mae GSS-TSIG wedi'i analluogi yn y ffurfweddiad rhagosodedig ac fe'i defnyddir fel arfer mewn amgylcheddau cymysg lle mae BIND wedi'i gyfuno â rheolwyr parth Active Directory, neu wrth integreiddio â Samba.
Mae'r bregusrwydd yn cael ei achosi gan gamgymeriad wrth weithredu mecanwaith SPNEGO (Mecanwaith Negodi GSSAPI Syml a Gwarchodedig), a ddefnyddir yn GSSAPI i drafod y dulliau amddiffyn a ddefnyddir gan y cleient a'r gweinydd. Defnyddir GSSAPI fel protocol lefel uchel ar gyfer cyfnewid allweddi diogel gan ddefnyddio'r estyniad GSS-TSIG a ddefnyddir yn y broses o ddilysu diweddariadau parth DNS deinamig.
Oherwydd bod gwendidau critigol o ran gweithredu integredig SPNEGO wedi'u canfod yn flaenorol, mae gweithrediad y protocol hwn wedi'i ddileu o sylfaen cod BIND 9. Ar gyfer defnyddwyr sydd angen cefnogaeth SPNEGO, argymhellir defnyddio gweithrediad allanol a ddarperir gan y GSSAPI llyfrgell system (a ddarperir yn MIT Kerberos a Heimdal Kerberos).
Gall defnyddwyr fersiynau hŷn o BIND, fel ateb i rwystro'r broblem, analluogi GSS-TSIG yn y gosodiadau (opsiynau tkey-gssapi-keytab a tkey-gssapi-credential) neu ailadeiladu BIND heb gefnogaeth i fecanwaith SPNEGO (opsiwn "- -disable-isc-spnego" yn y sgript "configure"). Gallwch olrhain argaeledd diweddariadau mewn dosbarthiadau ar y tudalennau canlynol: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Mae pecynnau RHEL ac ALT Linux yn cael eu hadeiladu heb gefnogaeth SPNEGO brodorol.
Yn ogystal, mae dau wendid arall yn sefydlog yn y diweddariadau BIND dan sylw:
- CVE-2021-25215 - cwympodd y broses a enwyd wrth brosesu cofnodion DNAME (prosesu ailgyfeirio rhan o is-barthau), gan arwain at ychwanegu copïau dyblyg i'r adran ATEB. Er mwyn manteisio ar y bregusrwydd ar weinyddion DNS awdurdodol mae angen gwneud newidiadau i'r parthau DNS wedi'u prosesu, ac ar gyfer gweinyddwyr ailadroddus, gellir cael y cofnod problemus ar ôl cysylltu â'r gweinydd awdurdodol.
- CVE-2021-25214 - Mae'r broses a enwir yn damwain wrth brosesu cais IXFR sy'n dod i mewn wedi'i grefftio'n arbennig (a ddefnyddir i drosglwyddo newidiadau mewn parthau DNS yn raddol rhwng gweinyddwyr DNS). Mae'r broblem yn effeithio ar systemau yn unig sydd wedi caniatáu trosglwyddiadau parth DNS o weinydd yr ymosodwr (fel arfer defnyddir trosglwyddiadau parth i gydamseru gweinyddwyr meistr a chaethweision ac fe'u caniateir yn ddetholus ar gyfer gweinyddwyr dibynadwy yn unig). Fel ateb diogelwch, gallwch analluogi cefnogaeth IXFR gan ddefnyddio'r gosodiad “request-ixfr no;”.
Ffynhonnell: opennet.ru