Korrigearjende fernijings binne publisearre foar de stabile tûken fan 'e BIND DNS-tsjinner 9.11.31 en 9.16.15, lykas ek de eksperimintele branch 9.17.12, dy't yn ûntwikkeling is. De nije releases pakke trije kwetsberens oan, wêrfan ien (CVE-2021-25216) in bufferoerstream feroarsaket. Op 32-bit systemen kin de kwetsberens brûkt wurde om de koade fan in oanfaller op ôfstân út te fieren troch in spesjaal makke GSS-TSIG-fersyk te ferstjoeren. Op 64 systemen is it probleem beheind ta de crash fan it neamde proses.
It probleem ferskynt allinich as it GSS-TSIG-meganisme ynskeakele is, aktivearre mei de tkey-gssapi-keytab en tkey-gssapi-credential ynstellings. GSS-TSIG is útskeakele yn de standert konfiguraasje en wurdt typysk brûkt yn mingde omjouwings dêr't BIND wurdt kombinearre mei Active Directory domein controllers, of by yntegraasje mei Samba.
De kwetsberens wurdt feroarsake troch in flater yn de útfiering fan de SPNEGO (Ienfâldige en beskerme GSSAPI Underhannelings Mechanism), brûkt yn GSSAPI te ûnderhanneljen de beskerming metoaden brûkt troch de klant en tsjinner. GSSAPI wurdt brûkt as in protokol op hege nivo foar feilige kaai-útwikseling mei de GSS-TSIG-útwreiding dy't brûkt wurdt yn it proses fan autentikaasje fan dynamyske DNS-sône-updates.
Om't krityske kwetsberens yn 'e ynboude ymplemintaasje fan SPNEGO earder fûn binne, is de ymplemintaasje fan dit protokol fuortsmiten fan' e BIND 9-koadebasis. Foar brûkers dy't SPNEGO-stipe nedich binne, wurdt it oanrikkemandearre om in eksterne ymplemintaasje te brûken levere troch de GSSAPI systeembibleteek (fersoarge yn MIT Kerberos en Heimdal Kerberos).
Brûkers fan âldere ferzjes fan BIND, as in oplossing foar it blokkearjen fan it probleem, kinne GSS-TSIG útskeakelje yn 'e ynstellings (opsjes tkey-gssapi-keytab en tkey-gssapi-credential) of BIND opnij opbouwe sûnder stipe foar it SPNEGO-meganisme (opsje "- -disable-isc-spnego" yn skript "konfigurearje"). Jo kinne de beskikberens fan fernijings yn distribúsjes folgje op 'e folgjende siden: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL- en ALT Linux-pakketten wurde boud sûnder native SPNEGO-stipe.
Derneist wurde noch twa kwetsberens fêstlein yn 'e oanbelangjende BIND-updates:
- CVE-2021-25215 - it neamde proses ferûngelokke by it ferwurkjen fan DNAME-records (trochferwurking fan in diel fan subdomeinen), wat liedt ta de tafoeging fan duplikaten oan 'e ANSWER-seksje. It eksploitearjen fan de kwetsberens op gesachhawwende DNS-tsjinners fereasket it meitsjen fan feroaringen yn 'e ferwurke DNS-sônes, en foar rekursive tsjinners kin it problematyske rekôr krigen wurde nei kontakt mei de autoritative tsjinner.
- CVE-2021-25214 - It neamde proses crasht by it ferwurkjen fan in spesjaal makke ynkommende IXFR-fersyk (brûkt om feroarings yn DNS-sônes ynkrementeel oer te bringen tusken DNS-tsjinners). It probleem beynfloedet allinich systemen dy't DNS-sône-oerdrachten hawwe tastien fan 'e tsjinner fan' e oanfaller (normaal wurde sône-oerdrachten brûkt om master- en slave-tsjinners te syngronisearjen en binne selektyf allinich tastien foar betroubere tsjinners). As befeiligingsoplossing kinne jo IXFR-stipe útskeakelje mei de ynstelling "request-ixfr no;".
Boarne: opennet.ru