Des mises à jour correctives ont été publiées pour les branches stables du serveur DNS BIND 9.11.31 et 9.16.15, ainsi que pour la branche expérimentale 9.17.12, en cours de développement. Les nouvelles versions corrigent trois vulnérabilités, dont l'une (CVE-2021-25216) provoque un débordement de tampon. Sur les systèmes 32 bits, la vulnérabilité peut être exploitée pour exécuter à distance le code d'un attaquant en envoyant une requête GSS-TSIG spécialement conçue. Sur 64 systèmes, le problème se limite au crash du processus nommé.
Le problème n'apparaît que lorsque le mécanisme GSS-TSIG est activé, activé à l'aide des paramètres tkey-gssapi-keytab et tkey-gssapi-credential. GSS-TSIG est désactivé dans la configuration par défaut et est généralement utilisé dans des environnements mixtes où BIND est combiné avec des contrôleurs de domaine Active Directory, ou lors de l'intégration avec Samba.
La vulnérabilité est causée par une erreur dans l'implémentation du mécanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), utilisé dans GSSAPI pour négocier les méthodes de protection utilisées par le client et le serveur. GSSAPI est utilisé comme protocole de haut niveau pour l'échange sécurisé de clés à l'aide de l'extension GSS-TSIG utilisée dans le processus d'authentification des mises à jour dynamiques des zones DNS.
Étant donné que des vulnérabilités critiques dans l'implémentation intégrée de SPNEGO ont été découvertes précédemment, l'implémentation de ce protocole a été supprimée de la base de code BIND 9. Pour les utilisateurs qui ont besoin du support SPNEGO, il est recommandé d'utiliser une implémentation externe fournie par GSSAPI. bibliothèque système (fournie dans MIT Kerberos et Heimdal Kerberos).
Les utilisateurs d'anciennes versions de BIND, comme solution de contournement pour bloquer le problème, peuvent désactiver GSS-TSIG dans les paramètres (options tkey-gssapi-keytab et tkey-gssapi-credential) ou reconstruire BIND sans prise en charge du mécanisme SPNEGO (option "- -disable-isc-spnego" dans le script "configure"). Vous pouvez suivre la disponibilité des mises à jour dans les distributions sur les pages suivantes : Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Les packages RHEL et ALT Linux sont construits sans prise en charge native de SPNEGO.
De plus, deux autres vulnérabilités sont corrigées dans les mises à jour BIND en question :
- CVE-2021-25215 — le processus nommé s'est écrasé lors du traitement des enregistrements DNAME (traitement de redirection d'une partie des sous-domaines), entraînant l'ajout de doublons dans la section RÉPONSE. L'exploitation de la vulnérabilité sur les serveurs DNS faisant autorité nécessite d'apporter des modifications aux zones DNS traitées, et pour les serveurs récursifs, l'enregistrement problématique peut être obtenu après avoir contacté le serveur faisant autorité.
- CVE-2021-25214 – Le processus nommé se bloque lors du traitement d'une requête IXFR entrante spécialement conçue (utilisée pour transférer de manière incrémentielle les modifications dans les zones DNS entre les serveurs DNS). Le problème affecte uniquement les systèmes qui ont autorisé les transferts de zone DNS depuis le serveur de l'attaquant (généralement, les transferts de zone sont utilisés pour synchroniser les serveurs maître et esclave et sont autorisés de manière sélective uniquement pour les serveurs dignes de confiance). En guise de solution de sécurité, vous pouvez désactiver la prise en charge IXFR à l'aide du paramètre « request-ixfr no ; ».
Source: opennet.ru