Έχουν δημοσιευτεί διορθωτικές ενημερώσεις για τους σταθερούς κλάδους του διακομιστή BIND DNS 9.11.31 και 9.16.15, καθώς και για τον πειραματικό κλάδο 9.17.12, ο οποίος βρίσκεται υπό ανάπτυξη. Οι νέες εκδόσεις αντιμετωπίζουν τρία τρωτά σημεία, ένα από τα οποία (CVE-2021-25216) προκαλεί υπερχείλιση buffer. Σε συστήματα 32-bit, η ευπάθεια μπορεί να αξιοποιηθεί για την απομακρυσμένη εκτέλεση του κώδικα ενός εισβολέα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα GSS-TSIG. Σε 64 συστήματα το πρόβλημα περιορίζεται στη συντριβή της ονομαζόμενης διαδικασίας.
Το πρόβλημα εμφανίζεται μόνο όταν ο μηχανισμός GSS-TSIG είναι ενεργοποιημένος, ενεργοποιημένος χρησιμοποιώντας τις ρυθμίσεις tkey-gssapi-keytab και tkey-gssapi-credential. Το GSS-TSIG είναι απενεργοποιημένο στην προεπιλεγμένη διαμόρφωση και χρησιμοποιείται συνήθως σε μικτά περιβάλλοντα όπου το BIND συνδυάζεται με ελεγκτές τομέα Active Directory ή κατά την ενσωμάτωση με το Samba.
Η ευπάθεια προκαλείται από ένα σφάλμα στην υλοποίηση του μηχανισμού SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), που χρησιμοποιείται στο GSSAPI για τη διαπραγμάτευση των μεθόδων προστασίας που χρησιμοποιούνται από τον πελάτη και τον διακομιστή. Το GSSAPI χρησιμοποιείται ως πρωτόκολλο υψηλού επιπέδου για ασφαλή ανταλλαγή κλειδιών χρησιμοποιώντας την επέκταση GSS-TSIG που χρησιμοποιείται στη διαδικασία ελέγχου ταυτότητας ενημερώσεων δυναμικής ζώνης DNS.
Επειδή είχαν βρεθεί στο παρελθόν κρίσιμα τρωτά σημεία στην ενσωματωμένη υλοποίηση του SPNEGO, η υλοποίηση αυτού του πρωτοκόλλου έχει αφαιρεθεί από τη βάση κώδικα BIND 9. Για χρήστες που χρειάζονται υποστήριξη SPNEGO, συνιστάται η χρήση εξωτερικής υλοποίησης που παρέχεται από το GSSAPI βιβλιοθήκη συστήματος (παρέχεται στο MIT Kerberos και Heimdal Kerberos).
Οι χρήστες παλαιότερων εκδόσεων του BIND, ως λύση για τον αποκλεισμό του προβλήματος, μπορούν να απενεργοποιήσουν το GSS-TSIG στις ρυθμίσεις (επιλογές tkey-gssapi-keytab και tkey-gssapi-credential) ή να δημιουργήσουν ξανά το BIND χωρίς υποστήριξη για τον μηχανισμό SPNEGO (επιλογή "- -disable-isc-spnego" στο σενάριο "configure"). Μπορείτε να παρακολουθείτε τη διαθεσιμότητα ενημερώσεων σε διανομές στις ακόλουθες σελίδες: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Τα πακέτα Linux RHEL και ALT δημιουργούνται χωρίς εγγενή υποστήριξη SPNEGO.
Επιπλέον, δύο ακόμη ευπάθειες επιδιορθώνονται στις εν λόγω ενημερώσεις BIND:
- CVE-2021-25215 — η ονομαζόμενη διεργασία διακόπηκε κατά την επεξεργασία των εγγραφών DNAME (επεξεργασία ανακατεύθυνσης μέρους υποτομέων), με αποτέλεσμα την προσθήκη διπλότυπων στην ενότητα ΑΠΑΝΤΗΣΗ. Η εκμετάλλευση της ευπάθειας σε έγκυρους διακομιστές DNS απαιτεί την πραγματοποίηση αλλαγών στις επεξεργασμένες ζώνες DNS και για τους αναδρομικούς διακομιστές, η προβληματική εγγραφή μπορεί να ληφθεί μετά από επικοινωνία με τον έγκυρο διακομιστή.
- CVE-2021-25214 – Η ονομαζόμενη διεργασία διακόπτεται κατά την επεξεργασία ενός ειδικά διαμορφωμένου εισερχόμενου αιτήματος IXFR (χρησιμοποιείται για τη σταδιακή μεταφορά αλλαγών σε ζώνες DNS μεταξύ διακομιστών DNS). Το πρόβλημα επηρεάζει μόνο συστήματα που έχουν επιτρέψει μεταφορές ζώνης DNS από τον διακομιστή του εισβολέα (συνήθως οι μεταφορές ζώνης χρησιμοποιούνται για το συγχρονισμό των κύριων και των υποτελών διακομιστών και επιτρέπονται επιλεκτικά μόνο για αξιόπιστους διακομιστές). Ως λύση ασφαλείας, μπορείτε να απενεργοποιήσετε την υποστήριξη IXFR χρησιμοποιώντας τη ρύθμιση "request-ixfr no;".
Πηγή: opennet.ru