Korektaj ĝisdatigoj estis publikigitaj por la stabilaj branĉoj de la BIND DNS-servilo 9.11.31 kaj 9.16.15, same kiel la eksperimenta branĉo 9.17.12, kiu estas en evoluo. La novaj eldonoj traktas tri vundeblecojn, unu el kiuj (CVE-2021-25216) kaŭzas bufran superfluon. Sur 32-bitaj sistemoj, la vundebleco povas esti ekspluatata por malproksime ekzekuti la kodon de atakanto sendante speciale kreitan GSS-TSIG-peton. Sur 64 sistemoj la problemo estas limigita al la kraŝo de la nomita procezo.
La problemo nur aperas kiam la mekanismo GSS-TSIG estas ebligita, aktivigita per la agordoj tkey-gssapi-keytab kaj tkey-gssapi-credential. GSS-TSIG estas malfunkciigita en la defaŭlta agordo kaj estas tipe uzita en miksitaj medioj kie BIND estas kombinita kun Active Directory-regiloj, aŭ dum integriĝo kun Samba.
La vundebleco estas kaŭzita de eraro en la efektivigo de la mekanismo SPNEGO (Simpla kaj Protektita GSSAPI Negotiation Mechanism), uzata en GSSAPI por negoci la protektajn metodojn uzatajn de la kliento kaj servilo. GSSAPI estas utiligita kiel altnivela protokolo por sekura ŝlosilŝanĝo uzante la GSS-TSIG etendon uzatan en la procezo de aŭtentikigado de dinamikaj DNS-zonaj ĝisdatigoj.
Ĉar kritikaj vundeblecoj en la enkonstruita efektivigo de SPNEGO estis trovitaj antaŭe, la efektivigo de ĉi tiu protokolo estis forigita de la kodbazo BIND 9. Por uzantoj kiuj postulas SPNEGO-subtenon, oni rekomendas uzi eksteran efektivigon provizitan de la GSSAPI. sistembiblioteko (provizita en MIT Kerberos kaj Heimdal Kerberos).
Uzantoj de pli malnovaj versioj de BIND, kiel solvo por bloki la problemon, povas malŝalti GSS-TSIG en la agordoj (opcioj tkey-gssapi-keytab kaj tkey-gssapi-credential) aŭ rekonstrui BIND sen subteno por la SPNEGO-mekanismo (opcio "- -disable-isc-spnego" en skripto "agordi"). Vi povas spuri la haveblecon de ĝisdatigoj en distribuoj sur la jenaj paĝoj: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL kaj ALT Linukso-pakaĵoj estas konstruitaj sen denaska SPNEGO-subteno.
Aldone, du pliaj vundeblecoj estas korektitaj en la koncernaj ĝisdatigoj de BIND:
- CVE-2021-25215 — la nomita procezo kraŝis dum prilaborado de DNAME-rekordoj (redirekta pretigo de parto de subdomajnoj), kondukante al aldono de duplikatoj al la sekcio RESPONDO. Ekspluatado de la vundebleco sur aŭtoritataj DNS-serviloj postulas fari ŝanĝojn al la prilaboritaj DNS-zonoj, kaj por rekursiemaj serviloj, la problema rekordo povas esti akirita post kontaktado de la aŭtoritata servilo.
- CVE-2021-25214 - La nomita procezo kraŝas dum prilaborado de speciale kreita envenanta IXFR-peto (uzata por pliige transdoni ŝanĝojn en DNS-zonoj inter DNS-serviloj). La problemo influas nur sistemojn, kiuj permesis la translokigon de DNS-zonoj de la ataka servilo (kutime zontranslokigoj estas uzataj por sinkronigi majstrajn kaj sklavajn servilojn kaj estas elekte permesitaj nur por fidindaj serviloj). Kiel sekureca solvo, vi povas malŝalti IXFR-subtenon uzante la agordon "request-ixfr no;".
fonto: opennet.ru