Korektaj ĝisdatigoj estis publikigitaj por la stabilaj branĉoj de la BIND DNS-servilo 9.11.31 kaj 9.16.15, same kiel la eksperimenta branĉo 9.17.12, kiu estas en evoluo. La novaj eldonoj traktas tri vundeblecojn, unu el kiuj (CVE-2021-25216) kaŭzas bufran superfluon. Sur 32-bitaj sistemoj, la vundebleco povas esti ekspluatata por malproksime ekzekuti la kodon de atakanto sendante speciale kreitan GSS-TSIG-peton. Sur 64 sistemoj la problemo estas limigita al la kraŝo de la nomita procezo.
La problemo nur aperas kiam la mekanismo GSS-TSIG estas ebligita, aktivigita per la agordoj tkey-gssapi-keytab kaj tkey-gssapi-credential. GSS-TSIG estas malfunkciigita en la defaŭlta agordo kaj estas tipe uzita en miksitaj medioj kie BIND estas kombinita kun Active Directory-regiloj, aŭ dum integriĝo kun Samba.
La vundebleco estas kaŭzita de eraro en la efektivigo de la mekanismo SPNEGO (Simpla kaj Protektita GSSAPI Intertraktada Mekanismo), kiu estas uzata en GSSAPI por negoci la protokolojn uzatajn de la kliento kaj servilo Sekurecaj metodoj. GSSAPI estas uzata kiel altnivela protokolo por sekura ŝlosilinterŝanĝo uzante la GSS-TSIG-etendaĵon, kiu estas uzata en la procezo de kontrolado de la aŭtenteco de dinamikaj DNS-zonĝisdatigoj.
Ĉar kritikaj vundeblecoj en la enkonstruita efektivigo de SPNEGO estis trovitaj antaŭe, la efektivigo de ĉi tiu protokolo estis forigita de la kodbazo BIND 9. Por uzantoj kiuj postulas SPNEGO-subtenon, oni rekomendas uzi eksteran efektivigon provizitan de la GSSAPI. sistembiblioteko (provizita en MIT Kerberos kaj Heimdal Kerberos).
Kiel solvo, uzantoj de pli malnovaj BIND-versioj povas malŝalti GSS-TSIG en la agordoj (parametroj tkey-gssapi-keytab kaj tkey-gssapi-credential) aŭ rekompili BIND sen subteno por SPNEGO (la opcio "--disable-isc-spnego" en la skripto "configure"). Vi povas spuri ĝisdatigojn por viaj distribuaĵoj sur la jenaj paĝoj: Debian, SUSE, Ubuntu, Fedoro, Arko Linux, FreeBSD, NetBSD. RHEL kaj ALT pakaĵoj Linux estas kompilitaj sen enkonstruita SPNEGO-subteno.
Aldone, du pliaj vundeblecoj estas korektitaj en la koncernaj ĝisdatigoj de BIND:
- CVE-2021-25215 — La nomita procezo kraŝis dum prilaborado de DNAME-rekordoj (alidirekta prilaborado de iuj subdomajnoj), rezultante en aldono de duplikatoj al la ANSWER-sekcio. Ekspluati la vundeblecon sur aŭtoritataj DNS-serviloj postulas modifojn al la prilaborataj DNS-zonoj, kaj por rekursiaj serviloj La problema rikordo povas esti retrovita kontaktante la aŭtoritatan servilon.
- CVE-2021-25214 - La nomita procezo kraŝas dum prilaborado de speciale kreita envenanta IXFR-peto (uzata por pliige transdoni ŝanĝojn en DNS-zonoj inter DNS-serviloj). La problemo influas nur sistemojn, kiuj permesis la translokigon de DNS-zonoj de la ataka servilo (kutime zontranslokigoj estas uzataj por sinkronigi majstrajn kaj sklavajn servilojn kaj estas elekte permesitaj nur por fidindaj serviloj). Kiel sekureca solvo, vi povas malŝalti IXFR-subtenon uzante la agordon "request-ixfr no;".
fonto: opennet.ru
