Eguneratze zuzentzaileak argitaratu dira BIND DNS zerbitzariaren 9.11.31 eta 9.16.15 adar egonkorretarako, baita garatzen ari den 9.17.12 adar esperimentalerako ere. Argitalpen berriek hiru ahultasun zuzentzen dituzte, eta horietako batek (CVE-2021-25216) buffer gainezkatzea eragiten du. 32 biteko sistemetan, ahultasuna aprobetxatu daiteke erasotzaile baten kodea urrunetik exekutatzeko, bereziki landutako GSS-TSIG eskaera bat bidaliz. 64 sistemetan arazoa izendatutako prozesuaren hutsegitera mugatzen da.
Arazoa GSS-TSIG mekanismoa gaituta dagoenean bakarrik agertzen da, tkey-gssapi-keytab eta tkey-gssapi-credential ezarpenak erabiliz aktibatuta. GSS-TSIG desgaituta dago konfigurazio lehenetsian eta normalean BIND Active Directory domeinu-kontrolagailuekin konbinatzen den ingurune mistoetan erabiltzen da edo Samba-rekin integratzean.
Ahultasuna bezeroak eta zerbitzariak erabiltzen dituen babes-metodoak negoziatzeko GSSAPIn erabiltzen den SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mekanismoaren inplementazioaren akats batek eragiten du. GSSAPI goi-mailako protokolo gisa erabiltzen da gako truke segururako DNS gune dinamikoen eguneraketak autentifikatzeko prozesuan erabiltzen den GSS-TSIG luzapena erabiliz.
SPNEGOren inplementazioan ahultasun kritikoak lehenago aurkitu direnez, protokolo honen inplementazioa BIND 9 kode-oinarritik kendu da. SPNEGO laguntza behar duten erabiltzaileentzat, GSSAPIk emandako kanpoko inplementazioa erabiltzea gomendatzen da. sistemaren liburutegia (MIT Kerberos eta Heimdal Kerberos-en emandakoa).
BIND-en bertsio zaharragoen erabiltzaileek, arazoa blokeatzeko konponbide gisa, GSS-TSIG desgaitu dezakete ezarpenetan (tkey-gssapi-keytab eta tkey-gssapi-credential aukerak) edo BIND berreraiki dezakete SPNEGO mekanismorako laguntzarik gabe (aukera "- -disable-isc-spnego" "konfiguratu") gidoian. Eguneratzeen erabilgarritasuna jarraipena egin dezakezu banaketa orri hauetan: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL eta ALT Linux paketeak SPNEGO jatorrizko laguntzarik gabe eraikitzen dira.
Gainera, bi ahultasun gehiago konpontzen dira BINDen eguneraketetan:
- CVE-2021-25215 β izeneko prozesua huts egin zuen DNAME erregistroak prozesatzen zituenean (azpidomeinuen zati baten birbideratzea), bikoiztuak gehitu ziren ERANTZUNA atalean. DNS zerbitzari autoritarioetan ahultasuna ustiatzeak prozesatutako DNS guneetan aldaketak egitea eskatzen du, eta zerbitzari errekurtsiboetarako, erregistro problematikoa zerbitzari autoritarioarekin harremanetan jarri ondoren lor daiteke.
- CVE-2021-25214 - Izendatutako prozesua huts egiten du bereziki landutako sarrerako IXFR eskaera bat prozesatzen denean (DNS zerbitzarien artean DNS guneetako aldaketak pixkanaka transferitzeko erabiltzen da). Arazoak erasotzailearen zerbitzaritik DNS zona transferentziak baimendu dituzten sistemei bakarrik eragiten die (normalean zona transferentziak zerbitzari nagusiak eta esklaboak sinkronizatzeko erabiltzen dira eta zerbitzari fidagarrietarako soilik onartzen dira selektiboki). Segurtasun konponbide gisa, IXFR laguntza desgai dezakezu "request-ixfr no;" ezarpena erabiliz.
Iturria: opennet.ru