به روز رسانی های اصلاحی برای شاخه های پایدار سرور BIND DNS 9.11.31 و 9.16.15 و همچنین شاخه آزمایشی 9.17.12 منتشر شده است که در حال توسعه است. نسخه های جدید سه آسیب پذیری را برطرف می کنند که یکی از آنها (CVE-2021-25216) باعث سرریز بافر می شود. در سیستمهای 32 بیتی، میتوان از این آسیبپذیری برای اجرای از راه دور کد مهاجم با ارسال یک درخواست GSS-TSIG استفاده کرد. در 64 سیستم مشکل به خرابی فرآیند نامگذاری شده محدود می شود.
مشکل تنها زمانی ظاهر میشود که مکانیسم GSS-TSIG با استفاده از تنظیمات tkey-gssapi-keytab و tkey-gssapi-credential فعال شده باشد. GSS-TSIG در پیکربندی پیشفرض غیرفعال است و معمولاً در محیطهای مختلط که BIND با کنترلکنندههای دامنه Active Directory ترکیب میشود یا هنگام ادغام با Samba استفاده میشود.
این آسیبپذیری ناشی از خطا در پیادهسازی مکانیزم SPNEGO (مکانیسم مذاکره ساده و محافظتشده GSSAPI) است که در GSSAPI برای مذاکره درباره روشهای حفاظتی مورد استفاده مشتری و سرور استفاده میشود. GSSAPI به عنوان یک پروتکل سطح بالا برای تبادل کلید ایمن با استفاده از پسوند GSS-TSIG مورد استفاده در فرآیند احراز هویت بهروزرسانیهای ناحیه DNS پویا استفاده میشود.
از آنجایی که قبلاً آسیب پذیری های حیاتی در پیاده سازی داخلی SPNEGO پیدا شده بود، پیاده سازی این پروتکل از پایه کد BIND 9 حذف شده است. برای کاربرانی که به پشتیبانی SPNEGO نیاز دارند، توصیه می شود از یک پیاده سازی خارجی ارائه شده توسط GSSAPI استفاده کنند. کتابخانه سیستم (ارائه شده در MIT Kerberos و Heimdal Kerberos).
کاربران نسخههای قدیمیتر BIND، به عنوان راهحلی برای مسدود کردن مشکل، میتوانند GSS-TSIG را در تنظیمات غیرفعال کنند (گزینههای tkey-gssapi-keytab و tkey-gssapi-credential) یا بدون پشتیبانی از مکانیسم SPNEGO، BIND را بازسازی کنند (گزینه "- -disable-isc-spnego" در اسکریپت "پیکربندی"). میتوانید در دسترس بودن بهروزرسانیها در توزیعها را در صفحات زیر دنبال کنید: Debian، SUSE، Ubuntu، Fedora، Arch Linux، FreeBSD، NetBSD. بسته های لینوکس RHEL و ALT بدون پشتیبانی بومی SPNEGO ساخته شده اند.
علاوه بر این، دو آسیبپذیری دیگر در بهروزرسانیهای BIND مورد نظر رفع شده است:
- CVE-2021-25215 — هنگام پردازش رکوردهای DNAME (پردازش مجدد بخشی از زیر دامنه ها) فرآیند نامگذاری شده از کار افتاد که منجر به اضافه شدن موارد تکراری به بخش ANSWER شد. بهره برداری از آسیب پذیری در سرورهای DNS معتبر مستلزم ایجاد تغییرات در مناطق DNS پردازش شده است و برای سرورهای بازگشتی، پس از تماس با سرور معتبر می توان رکورد مشکل دار را به دست آورد.
- CVE-2021-25214 - هنگام پردازش یک درخواست IXFR ورودی که به طور خاص ساخته شده است (برای انتقال تدریجی تغییرات در مناطق DNS بین سرورهای DNS استفاده می شود) فرآیند نامگذاری شده از کار می افتد. این مشکل تنها سیستمهایی را تحتتاثیر قرار میدهد که اجازه انتقال منطقه DNS از سرور مهاجم را دادهاند (معمولاً انتقال منطقه برای همگامسازی سرورهای اصلی و برده استفاده میشود و به طور انتخابی فقط برای سرورهای قابل اعتماد مجاز است). به عنوان یک راهحل امنیتی، میتوانید پشتیبانی IXFR را با استفاده از تنظیم «request-ixfr no;» غیرفعال کنید.
منبع: opennet.ru