Foilsíodh nuashonruithe ceartaitheacha do bhrainsí cobhsaí an fhreastalaí DNS BIND 9.11.31 agus 9.16.15, chomh maith leis an mbrainse turgnamhach 9.17.12, atá á fhorbairt. Tugann na heisiúintí nua aghaidh ar thrí leochaileacht, agus cuireann ceann amháin díobh sin (CVE-2021-25216) ró-shreabhadh maolánach i bhfeidhm. Ar chórais 32-giotán, is féidir leas a bhaint as an leochaileacht chun cód ionsaitheora a fhorghníomhú go cianda trí iarratas GSS-TSIG saindeartha a sheoladh. Ar 64 córas tá an fhadhb teoranta do thuairteáil an phróisis ainmnithe.
Ní thagann an fhadhb le feiceáil ach amháin nuair atá meicníocht GSS-TSIG cumasaithe, gníomhachtaithe ag baint úsáide as na socruithe tkey-gssapi-keytab agus tkey-gssapi-credential. Tá GSS-TSIG díchumasaithe sa chumraíocht réamhshocraithe agus úsáidtear é go hiondúil i dtimpeallachtaí measctha ina gcomhcheanglaítear BIND le rialtóirí fearainn Active Directory, nó nuair a bhíonn sé á chomhtháthú le Samba.
Is é is cúis leis an leochaileacht ná earráid i gcur i bhfeidhm mheicníocht SPNEGO (Meicníocht Idirbheartaíochta Simplí agus Cosanta GSSAPI), a úsáidtear i GSSAPI chun na modhanna cosanta a úsáideann an cliant agus an freastalaí a chaibidil. Úsáidtear GSSAPI mar phrótacal ardleibhéil le haghaidh malartú slán eochair ag baint úsáide as an síneadh GSS-TSIG a úsáidtear i bpróiseas fíordheimhnithe nuashonruithe crios DNS dinimiciúla.
Toisc go bhfuarthas leochaileachtaí criticiúla i gcur chun feidhme dúchais SPNEGO roimhe seo, baineadh cur i bhfeidhm an phrótacail seo as an mbonn cód BIND 9. I gcás úsáideoirí a dteastaíonn tacaíocht SPNEGO uathu, moltar úsáid a bhaint as forfheidhmiú seachtrach a sholáthraíonn leabharlann chórais GSSAPI. (ar fáil in MIT Kerberos agus Heimdal Kerberos).
Is féidir le húsáideoirí leaganacha níos sine de BIND, mar réiteach chun an fhadhb a bhlocáil, GSS-TSIG a dhíchumasú sna socruithe (roghanna tkey-gssapi-keytab agus tkey-gssapi-credential) nó BIND a atógáil gan tacaíocht do mheicníocht SPNEGO (rogha" - -disable-isc-spnego" sa script "chumraigh"). Is féidir leat infhaighteacht nuashonruithe i dáiltí a rianú ar na leathanaigh seo a leanas: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Tógtar pacáistí RHEL agus ALT Linux gan tacaíocht dúchais SPNEGO.
Ina theannta sin, tá dhá leochaileacht eile socraithe sna nuashonruithe BIND atá i gceist:
- CVE-2021-25215 — thit an próiseas ainmnithe nuair a bhí taifid DNAME á bpróiseáil (próiseáil atreoraithe ar chuid d’fhofhearainn), rud a d’fhág gur cuireadh dúblaigh leis an rannán FREAGRAÍ. Chun leas a bhaint as an leochaileacht ar fhreastalaithe DNS údarásacha is gá athruithe a dhéanamh ar na criosanna DNS próiseáilte, agus le haghaidh freastalaithe athfhillteacha, is féidir an taifead fadhbanna a fháil tar éis dul i dteagmháil leis an bhfreastalaí údarásach.
- CVE-2021-25214 - Tagann tuairteanna ar an bpróiseas ainmnithe nuair a phróiseáiltear iarratas IXFR atá saindeartha ag teacht isteach (a úsáidtear chun athruithe i gcriosanna DNS a aistriú go hincriminteach idir freastalaithe DNS). Ní dhéanann an fhadhb ach difear do chórais a cheadaigh aistrithe crios DNS ó fhreastalaí an ionsaitheora (de ghnáth úsáidtear aistrithe crios chun freastalaithe máistir agus sclábhaithe a shioncrónú agus ní cheadaítear iad go roghnach ach amháin le haghaidh freastalaithe iontaofa). Mar réiteach oibre slándála, is féidir leat tacaíocht IXFR a dhíchumasú ag baint úsáide as an socrú “request-ixfr no;”.
Foinse: oscailtenet.ru