Update des DNS-Servers BIND zur Behebung einer Sicherheitsanfälligkeit, die Remote-Codeausführung ermöglicht.

Es wurden Korrektur-Updates für die stabilen Versionen des DNS-Servers BIND 9.11.31 und 9.16.15 sowie für die in Entwicklung befindliche experimentelle Version 9.17.12 veröffentlicht. In den neuen Versionen wurden drei Sicherheitsanfälligkeiten behoben, von denen eine (CVE-2021-25216) zu einem Pufferüberlauf führt. Bei 32-Bit-Systemen kann die Sicherheitsanfälligkeit genutzt werden, um durch das Senden einer speziell gestalteten GSS-TSIG-Anfrage Code aus der Ferne auszuführen. Auf 64-Bit-Systemen führt das Problem lediglich zum Absturz des Prozesses named.

Das Problem tritt nur auf, wenn der GSS-TSIG-Mechanismus aktiviert ist, der durch die Einstellungen tkey-gssapi-keytab und tkey-gssapi-credential aktiviert wird. GSS-TSIG ist standardmäßig in der Konfiguration deaktiviert und wird gewöhnlich in gemischten Umgebungen eingesetzt, in denen BIND mit Active Directory-Domänencontrollern kombiniert wird oder bei der Integration mit Samba.

Die Sicherheitsanfälligkeit wird durch einen Fehler in der Implementierung des SPNEGO-Mechanismus (Simple and Protected GSSAPI Negotiation Mechanism) verursacht, der in GSSAPI zur Aushandlung der verwendeten Client- und dem Server durch GSSAPI wird als hochrangiges Protokoll für den sicheren Austausch von Schlüsseln verwendet, wobei die Erweiterung GSS-TSIG zur Authentifizierung dynamischer DNS-Zonenaktualisierungen eingesetzt wird.

Da kritische Sicherheitsanfälligkeiten in der integrierten SPNEGO-Implementierung bereits zuvor festgestellt wurden, wurde die Implementierung dieses Protokolls aus dem Code von BIND 9 entfernt. Benutzern, die SPNEGO benötigen, wird empfohlen, eine externe Implementierung zu verwenden, die von der Systembibliothek GSSAPI bereitgestellt wird (verfügbar in MIT Kerberos und Heimdal Kerberos).

Benutzer älterer BIND-Versionen können als Übergangslösung zur Behebung des Problems GSS-TSIG in den Einstellungen deaktivieren (Optionen tkey-gssapi-keytab und tkey-gssapi-credential) oder BIND ohne Unterstützung des SPNEGO-Mechanismus neu kompilieren (Option „—disable-isc-spnego“ im Skript „configure“). Updates in den Distributionen können auf den Seiten von Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD und NetBSD verfolgt werden. Die Pakete von RHEL und ALT Linux werden ohne integrierte Unterstützung für SPNEGO erstellt.

Zusätzlich wurden in den betreffenden BIND-Updates noch zwei weitere Sicherheitsanfälligkeiten behoben:

  • CVE-2021-25215 – Absturz des Prozesses named beim Verarbeiten von DNAME-Einträgen (Umleitung der Verarbeitung von Teil-Domains), die zu Duplikaten im ANSWER-Bereich führen. Um die Sicherheitsanfälligkeit auf autoritativen DNS-Servern auszunutzen, sind Änderungen in den behandelten DNS-Zonen erforderlich, während für rekursive Server Ein problematischer Eintrag kann nach einer Anfrage an den autoritativen Server abgerufen werden.
  • CVE-2021-25214 — der Prozess named stürzt ab, wenn ein speziell formatierter eingehender IXFR-Anfrage (verwendet für inkrementelle Übertragungen von Änderungen in DNS-Zonen zwischen DNS-Servern) verarbeitet wird. Betroffen sind nur Systeme, die die Übertragung von DNS-Zonen vom Angreifer-Server erlaubt haben (normalerweise wird die Zonenübertragung zur Synchronisierung von Master- und Slave-Servern verwendet und selektiv nur für vertrauenswürdige Server erlaubt). Als Schutzmaßnahme kann die Unterstützung von IXFR durch die Einstellung „request-ixfr no;“ deaktiviert werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster