Für die stabilen Zweige des BIND-DNS-Servers 9.11.31 und 9.16.15 sowie den experimentellen Zweig 9.17.12, der sich in der Entwicklung befindet, wurden korrigierende Updates veröffentlicht. Die neuen Versionen beheben drei Schwachstellen, von denen eine (CVE-2021-25216) einen Pufferüberlauf verursacht. Auf 32-Bit-Systemen kann die Sicherheitslücke ausgenutzt werden, um den Code eines Angreifers aus der Ferne auszuführen, indem eine speziell gestaltete GSS-TSIG-Anfrage gesendet wird. Auf 64-Systemen beschränkt sich das Problem auf den Absturz des genannten Prozesses.
Das Problem tritt nur auf, wenn der GSS-TSIG-Mechanismus aktiviert ist und mithilfe der Einstellungen tkey-gssapi-keytab und tkey-gssapi-credential aktiviert wird. GSS-TSIG ist in der Standardkonfiguration deaktiviert und wird typischerweise in gemischten Umgebungen verwendet, in denen BIND mit Active Directory-Domänencontrollern kombiniert wird, oder bei der Integration mit Samba.
Die Sicherheitslücke wird durch einen Fehler in der Implementierung des SPNEGO-Mechanismus (Simple and Protected GSSAPI Negotiation Mechanism) verursacht, der in GSSAPI zum Aushandeln der vom Client und Server verwendeten Schutzmethoden verwendet wird. GSSAPI wird als High-Level-Protokoll für den sicheren Schlüsselaustausch unter Verwendung der GSS-TSIG-Erweiterung verwendet, die bei der Authentifizierung dynamischer DNS-Zonenaktualisierungen verwendet wird.
Da bereits zuvor kritische Schwachstellen in der integrierten Implementierung von SPNEGO gefunden wurden, wurde die Implementierung dieses Protokolls aus der Codebasis von BIND 9 entfernt. Für Benutzer, die SPNEGO-Unterstützung benötigen, wird empfohlen, eine externe Implementierung zu verwenden, die von der GSSAPI bereitgestellt wird Systembibliothek (bereitgestellt in MIT Kerberos und Heimdal Kerberos).
Benutzer älterer BIND-Versionen können als Workaround zur Blockierung des Problems GSS-TSIG in den Einstellungen deaktivieren (Optionen tkey-gssapi-keytab und tkey-gssapi-credential) oder BIND ohne Unterstützung für den SPNEGO-Mechanismus neu erstellen (Option „- -disable-isc-spnego“ im Skript „configure“). Sie können die Verfügbarkeit von Updates in Distributionen auf den folgenden Seiten verfolgen: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL- und ALT-Linux-Pakete werden ohne native SPNEGO-Unterstützung erstellt.
Darüber hinaus werden in den betreffenden BIND-Updates zwei weitere Schwachstellen behoben:
- CVE-2021-25215 – Der genannte Prozess stürzte bei der Verarbeitung von DNAME-Datensätzen ab (Umleitungsverarbeitung eines Teils von Subdomains), was zur Hinzufügung von Duplikaten im ANSWER-Abschnitt führte. Um die Schwachstelle auf autorisierenden DNS-Servern auszunutzen, müssen Änderungen an den verarbeiteten DNS-Zonen vorgenommen werden. Bei rekursiven Servern kann der problematische Datensatz nach Kontaktaufnahme mit dem autorisierenden Server abgerufen werden.
- CVE-2021-25214 – Der genannte Prozess stürzt ab, wenn eine speziell gestaltete eingehende IXFR-Anfrage verarbeitet wird (die zur inkrementellen Übertragung von Änderungen in DNS-Zonen zwischen DNS-Servern verwendet wird). Das Problem betrifft nur Systeme, die DNS-Zonenübertragungen vom Server des Angreifers zugelassen haben (normalerweise werden Zonenübertragungen zur Synchronisierung von Master- und Slave-Servern verwendet und sind selektiv nur für vertrauenswürdige Server zulässig). Um die Sicherheit zu umgehen, können Sie die IXFR-Unterstützung mithilfe der Einstellung „request-ixfr no;“ deaktivieren.
Source: opennet.ru