Der er udgivet korrigerende opdateringer til de stabile grene af BIND DNS-serveren 9.11.31 og 9.16.15, samt den eksperimentelle gren 9.17.12, som er under udvikling. De nye udgivelser adresserer tre sårbarheder, hvoraf den ene (CVE-2021-25216) forårsager et bufferoverløb. På 32-bit systemer kan sårbarheden udnyttes til eksternt at udføre en angribers kode ved at sende en specialudformet GSS-TSIG-anmodning. På 64 systemer er problemet begrænset til nedbrud af den navngivne proces.
Problemet opstår kun, når GSS-TSIG-mekanismen er aktiveret, aktiveret ved hjælp af indstillingerne tkey-gssapi-keytab og tkey-gssapi-legitimationsoplysninger. GSS-TSIG er deaktiveret i standardkonfigurationen og bruges typisk i blandede miljøer, hvor BIND kombineres med Active Directory-domænecontrollere, eller ved integration med Samba.
Sårbarheden er forårsaget af en fejl i implementeringen af SPNEGO-mekanismen (Simple and Protected GSSAPI Negotiation Mechanism), der bruges i GSSAPI til at forhandle de beskyttelsesmetoder, der bruges af klienten og serveren. GSSAPI bruges som en protokol på højt niveau til sikker nøgleudveksling ved hjælp af GSS-TSIG-udvidelsen, der bruges i processen med autentificering af dynamiske DNS-zoneopdateringer.
Fordi der tidligere er fundet kritiske sårbarheder i den indbyggede implementering af SPNEGO, er implementeringen af denne protokol blevet fjernet fra kodebasen BIND 9. For brugere, der har brug for SPNEGO-support, anbefales det at bruge en ekstern implementering leveret af GSSAPI. systembibliotek (leveres i MIT Kerberos og Heimdal Kerberos).
Brugere af ældre versioner af BIND kan som en løsning til at blokere problemet deaktivere GSS-TSIG i indstillingerne (valgmuligheder tkey-gssapi-keytab og tkey-gssapi-credential) eller genopbygge BIND uden understøttelse af SPNEGO-mekanismen (valgmulighed "- -disable-isc-spnego" i scriptet "configure"). Du kan spore tilgængeligheden af opdateringer i distributioner på følgende sider: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL og ALT Linux-pakker er bygget uden indbygget SPNEGO-understøttelse.
Derudover er yderligere to sårbarheder rettet i de pågældende BIND-opdateringer:
- CVE-2021-25215 — den navngivne proces gik ned under behandling af DNAME-poster (omdirigeringsbehandling af en del af underdomæner), hvilket førte til tilføjelse af dubletter til ANSWER-sektionen. Udnyttelse af sårbarheden på autoritative DNS-servere kræver ændringer i de behandlede DNS-zoner, og for rekursive servere kan den problematiske post fås efter kontakt til den autoritative server.
- CVE-2021-25214 – Den navngivne proces går ned ved behandling af en specielt udformet indgående IXFR-anmodning (bruges til trinvist at overføre ændringer i DNS-zoner mellem DNS-servere). Problemet påvirker kun systemer, der har tilladt DNS-zoneoverførsler fra hackerens server (normalt bruges zoneoverførsler til at synkronisere master- og slaveservere og er selektivt kun tilladt for pålidelige servere). Som en sikkerhedsløsning kan du deaktivere IXFR-understøttelse ved at bruge indstillingen "request-ixfr no;".
Kilde: opennet.ru