Se han publicado actualizaciones correctivas para las ramas estables del servidor DNS BIND 9.11.31 y 9.16.15, así como para la rama experimental 9.17.12, que se encuentra en desarrollo. Las nuevas versiones abordan tres vulnerabilidades, una de las cuales (CVE-2021-25216) provoca un desbordamiento del búfer. En sistemas de 32 bits, la vulnerabilidad se puede aprovechar para ejecutar de forma remota el código de un atacante enviando una solicitud GSS-TSIG especialmente diseñada. En 64 sistemas, el problema se limita a la caída del proceso nombrado.
El problema solo aparece cuando el mecanismo GSS-TSIG está habilitado, activado usando las configuraciones tkey-gssapi-keytab y tkey-gssapi-credential. GSS-TSIG está deshabilitado en la configuración predeterminada y generalmente se usa en entornos mixtos donde BIND se combina con controladores de dominio de Active Directory o cuando se integra con Samba.
La vulnerabilidad es causada por un error en la implementación del mecanismo SPNEGO (Mecanismo de negociación GSSAPI simple y protegido), utilizado en GSSAPI para negociar los métodos de protección utilizados por el cliente y el servidor. GSSAPI se utiliza como protocolo de alto nivel para el intercambio seguro de claves mediante la extensión GSS-TSIG utilizada en el proceso de autenticación de actualizaciones dinámicas de zonas DNS.
Debido a que anteriormente se encontraron vulnerabilidades críticas en la implementación incorporada de SPNEGO, la implementación de este protocolo se eliminó del código base de BIND 9. Para los usuarios que requieren soporte de SPNEGO, se recomienda utilizar una implementación externa proporcionada por GSSAPI. biblioteca del sistema (proporcionada en MIT Kerberos y Heimdal Kerberos).
Los usuarios de versiones anteriores de BIND, como solución alternativa para bloquear el problema, pueden deshabilitar GSS-TSIG en la configuración (opciones tkey-gssapi-keytab y tkey-gssapi-credential) o reconstruir BIND sin soporte para el mecanismo SPNEGO (opción "- -disable-isc-spnego" en el script "configure"). Puede realizar un seguimiento de la disponibilidad de actualizaciones en distribuciones en las siguientes páginas: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Los paquetes RHEL y ALT Linux se crean sin soporte nativo de SPNEGO.
Además, se corrigen dos vulnerabilidades más en las actualizaciones de BIND en cuestión:
- CVE-2021-25215: el proceso nombrado falló al procesar registros DNAME (procesamiento de redirección de parte de los subdominios), lo que provocó la adición de duplicados en la sección RESPUESTA. Explotar la vulnerabilidad en servidores DNS autorizados requiere realizar cambios en las zonas DNS procesadas y, para servidores recursivos, el registro problemático se puede obtener después de contactar al servidor autorizado.
- CVE-2021-25214: el proceso nombrado falla al procesar una solicitud IXFR entrante especialmente diseñada (utilizada para transferir incrementalmente cambios en zonas DNS entre servidores DNS). El problema afecta sólo a los sistemas que han permitido transferencias de zonas DNS desde el servidor del atacante (normalmente las transferencias de zonas se utilizan para sincronizar servidores maestro y esclavo y se permiten selectivamente sólo para servidores confiables). Como solución alternativa de seguridad, puede desactivar la compatibilidad con IXFR utilizando la configuración "request-ixfr no;".
Fuente: opennet.ru