Mae diweddariadau cywirol wedi'u cyhoeddi ar gyfer canghennau sefydlog gweinydd DNS BIND 9.11.31 a 9.16.15, yn ogystal â'r gangen arbrofol 9.17.12, sy'n cael ei datblygu. Mae'r datganiadau newydd yn mynd i'r afael â thri gwendid, ac mae un ohonynt (CVE-2021-25216) yn achosi gorlif byffer. Ar systemau 32-did, gellir manteisio ar y bregusrwydd i weithredu cod ymosodwr o bell trwy anfon cais GSS-TSIG a luniwyd yn arbennig. Ar 64 o systemau mae'r broblem wedi'i chyfyngu i ddamwain y broses a enwir.
Mae'r broblem ond yn ymddangos pan fydd y mecanwaith GSS-TSIG wedi'i alluogi, wedi'i actifadu gan ddefnyddio'r gosodiadau tkey-gssapi-keytab a tkey-gssapi-credential. Mae GSS-TSIG wedi'i analluogi yn y ffurfweddiad rhagosodedig ac fe'i defnyddir fel arfer mewn amgylcheddau cymysg lle mae BIND wedi'i gyfuno â rheolwyr parth Active Directory, neu wrth integreiddio â Samba.
Mae'r bregusrwydd wedi'i achosi gan wall wrth weithredu mecanwaith SPNEGO (Mecanwaith Negodi GSSAPI Syml a Gwarchodedig), a ddefnyddir yn GSSAPI i drafod y protocolau a ddefnyddir gan y cleient a gweinydd Dulliau diogelwch. Defnyddir GSSAPI fel protocol lefel uchel ar gyfer cyfnewid allweddi diogel gan ddefnyddio'r estyniad GSS-TSIG, a ddefnyddir yn y broses o wirio dilysrwydd diweddariadau parth DNS deinamig.
Oherwydd bod gwendidau critigol o ran gweithredu integredig SPNEGO wedi'u canfod yn flaenorol, mae gweithrediad y protocol hwn wedi'i ddileu o sylfaen cod BIND 9. Ar gyfer defnyddwyr sydd angen cefnogaeth SPNEGO, argymhellir defnyddio gweithrediad allanol a ddarperir gan y GSSAPI llyfrgell system (a ddarperir yn MIT Kerberos a Heimdal Kerberos).
Fel ateb dros dro, gall defnyddwyr fersiynau hŷn o BIND analluogi GSS-TSIG yn y gosodiadau (paramedrau tkey-gssapi-keytab a tkey-gssapi-credential) neu ail-grynhoi BIND heb gefnogaeth SPNEGO (yr opsiwn "--disable-isc-spnego" yn y sgript "configure"). Gallwch olrhain diweddariadau ar gyfer eich dosraniadau ar y tudalennau canlynol: Debian, SUSE, Ubuntu, Fedora, Bwa Linux, FreeBSD, NetBSD. Pecynnau RHEL ac ALT Linux yn cael eu llunio heb gefnogaeth SPNEGO adeiledig.
Yn ogystal, mae dau wendid arall yn sefydlog yn y diweddariadau BIND dan sylw:
- CVE-2021-25215 — Fe wnaeth y broses a enwir chwalu wrth brosesu cofnodion DNAME (ailgyfeirio prosesu rhai is-barthau), gan arwain at ychwanegu dyblygiadau at yr adran ATEB. Mae manteisio ar y bregusrwydd ar weinyddion DNS awdurdodol yn gofyn am addasiadau i'r parthau DNS sy'n cael eu prosesu, ac ar gyfer rhai dychweliadol. gweinyddwyr Gellir adfer y cofnod problemus drwy gysylltu â'r gweinydd awdurdodol.
- CVE-2021-25214 - Mae'r broses a enwir yn damwain wrth brosesu cais IXFR sy'n dod i mewn wedi'i grefftio'n arbennig (a ddefnyddir i drosglwyddo newidiadau mewn parthau DNS yn raddol rhwng gweinyddwyr DNS). Mae'r broblem yn effeithio ar systemau yn unig sydd wedi caniatáu trosglwyddiadau parth DNS o weinydd yr ymosodwr (fel arfer defnyddir trosglwyddiadau parth i gydamseru gweinyddwyr meistr a chaethweision ac fe'u caniateir yn ddetholus ar gyfer gweinyddwyr dibynadwy yn unig). Fel ateb diogelwch, gallwch analluogi cefnogaeth IXFR gan ddefnyddio'r gosodiad “request-ixfr no;”.
Ffynhonnell: opennet.ru
