Korjaavat päivitykset on julkaistu BIND DNS -palvelimen vakaille haareille 9.11.31 ja 9.16.15 sekä kehitteillä olevalle kokeelliselle haaralle 9.17.12. Uudet julkaisut korjaavat kolme haavoittuvuutta, joista yksi (CVE-2021-25216) aiheuttaa puskurin ylivuodon. 32-bittisissä järjestelmissä haavoittuvuutta voidaan hyödyntää hyökkääjän koodin etäsuorittamiseen lähettämällä erityisesti muotoiltu GSS-TSIG-pyyntö. 64 järjestelmässä ongelma rajoittuu nimetyn prosessin kaatumiseen.
Ongelma ilmenee vain, kun GSS-TSIG-mekanismi on käytössä ja aktivoitu käyttämällä tkey-gssapi-keytab- ja tkey-gssapi-credential-asetuksia. GSS-TSIG on poistettu käytöstä oletuskokoonpanossa, ja sitä käytetään tyypillisesti sekaympäristöissä, joissa BIND on yhdistetty Active Directory -toimialueen ohjaimiin tai integroitaessa Sambaan.
Haavoittuvuus johtuu virheestä SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) -mekanismin toteutuksessa, jota käytetään GSSAPI:ssa neuvottelemaan asiakkaan ja palvelimen käyttämistä suojausmenetelmistä. GSSAPI:tä käytetään korkean tason protokollana suojattuun avainten vaihtoon käyttämällä GSS-TSIG-laajennusta, jota käytetään dynaamisten DNS-vyöhykkeiden päivitysten todentamiseen.
Koska kriittisiä haavoittuvuuksia SPNEGO:n sisäänrakennetusta toteutuksesta on löydetty aiemmin, tämän protokollan toteutus on poistettu BIND 9 -koodikannasta. Käyttäjille, jotka tarvitsevat SPNEGO-tukea, on suositeltavaa käyttää GSSAPI:n tarjoamaa ulkoista toteutusta järjestelmäkirjasto (toimitettu MIT Kerberosissa ja Heimdal Kerberosissa).
BIND:n vanhempien versioiden käyttäjät voivat ongelman estämiseksi poistaa GSS-TSIG:n käytöstä asetuksista (vaihtoehdot tkey-gssapi-keytab ja tkey-gssapi-credential) tai rakentaa BINDin uudelleen ilman SPNEGO-mekanismin tukea (vaihtoehto "- -disable-isc-spnego" komentosarjassa "configure"). Voit seurata päivitysten saatavuutta jakeluissa seuraavilta sivuilta: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL- ja ALT Linux-paketit on rakennettu ilman alkuperäistä SPNEGO-tukea.
Lisäksi kyseisissä BIND-päivityksissä on korjattu kaksi muuta haavoittuvuutta:
- CVE-2021-25215 — nimetty prosessi kaatui käsiteltäessä DNAME-tietueita (aliverkkotunnusten osan uudelleenohjaus), mikä johti kaksoiskappaleiden lisäämiseen VASTAUS-osioon. Haavoittuvuuden hyödyntäminen valtuutetuilla DNS-palvelimilla edellyttää muutosten tekemistä prosessoituihin DNS-vyöhykkeisiin, ja rekursiivisissa palvelimissa ongelmallinen tietue saadaan hankittua, kun otat yhteyttä arvovaltaiseen palvelimeen.
- CVE-2021-25214 – Nimetty prosessi kaatuu, kun käsitellään erityisesti muodostettua saapuvaa IXFR-pyyntöä (käytetään DNS-vyöhykkeiden muutosten asteittaiseen siirtämiseen DNS-palvelimien välillä). Ongelma koskee vain järjestelmiä, jotka ovat sallineet DNS-vyöhykesiirrot hyökkääjän palvelimelta (yleensä vyöhykesiirtoja käytetään isäntä- ja orjapalvelimien synkronointiin ja ne sallitaan valikoivasti vain luotettaville palvelimille). Suojauksen kiertotapana voit poistaa IXFR-tuen käytöstä käyttämällä "request-ixfr no;" -asetusta.
Lähde: opennet.ru