Avaldatud on korrigeerivad uuendused BIND DNS-serveri stabiilsetele harudele 9.11.31 ja 9.16.15, samuti arenduses olevale eksperimentaalsele harule 9.17.12. Uued versioonid käsitlevad kolme turvaauku, millest üks (CVE-2021-25216) põhjustab puhvri ületäitumise. 32-bitistes süsteemides saab haavatavust ära kasutada ründaja koodi kaugkäivitamiseks, saates spetsiaalselt koostatud GSS-TSIG päringu. 64 süsteemi puhul piirdub probleem nimetatud protsessi krahhiga.
Probleem ilmneb ainult siis, kui GSS-TSIG mehhanism on lubatud, aktiveeritud tkey-gssapi-keytab ja tkey-gssapi-mandaadi sätetega. GSS-TSIG on vaikekonfiguratsioonis keelatud ja seda kasutatakse tavaliselt segakeskkondades, kus BIND on kombineeritud Active Directory domeenikontrolleritega, või Sambaga integreerimisel.
Haavatavuse põhjuseks on viga SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mehhanismi juurutamisel, mida GSSAPI-s kasutatakse kliendi ja serveri kasutatavate kaitsemeetodite üle läbirääkimiseks. GSSAPI-d kasutatakse turvalise võtmevahetuse kõrgetasemelise protokollina, kasutades GSS-TSIG laiendust, mida kasutatakse dünaamiliste DNS-tsoonide värskenduste autentimise protsessis.
Kuna SPNEGO sisseehitatud juurutuses on leitud kriitilisi turvaauke varem, on selle protokolli juurutamine BIND 9 koodibaasist eemaldatud. SPNEGO tuge vajavatel kasutajatel on soovitatav kasutada GSSAPI pakutavat välist rakendust süsteemiteek (pakkudes MIT Kerberos ja Heimdal Kerberos).
BIND-i vanemate versioonide kasutajad saavad probleemi blokeerimise lahendusena keelata GSS-TSIG-i seadetes (suvandid tkey-gssapi-keytab ja tkey-gssapi-credential) või BIND-i uuesti üles ehitada ilma SPNEGO mehhanismi toetamata (valik "- -disable-isc-spnego" skriptis "configure"). Distributsioonide värskenduste saadavust saate jälgida järgmistel lehtedel: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL ja ALT Linuxi paketid on loodud ilma SPNEGO loomuliku toeta.
Lisaks on kõnealustes BIND-i värskendustes parandatud veel kaks turvaauku:
- CVE-2021-25215 – nimega protsess jooksis kokku DNAME-kirjete töötlemisel (alamdomeenide osa ümbersuunamine), mille tulemusel lisati jaotisesse VASTUS duplikaadid. Haavatavuse ärakasutamine autoriteetsetes DNS-serverites nõuab töödeldud DNS-i tsoonides muudatuste tegemist ning rekursiivsete serverite puhul saab probleemse kirje kätte pärast autoriteetse serveriga ühenduse võtmist.
- CVE-2021-25214 – nimega protsess jookseb kokku spetsiaalselt koostatud sissetuleva IXFR-i päringu töötlemisel (kasutatakse DNS-tsoonide muudatuste järkjärguliseks ülekandmiseks DNS-serverite vahel). Probleem puudutab ainult süsteeme, mis on lubanud DNS-tsooni ülekandeid ründaja serverist (tavaliselt kasutatakse tsooniülekandeid ülem- ja alamserverite sünkroonimiseks ning valikuliselt on lubatud ainult usaldusväärsete serverite puhul). Turvalahendusena saate IXFR-i toe keelata, kasutades seadet „request-ixfr no;”.
Allikas: opennet.ru