Chaidh ùrachaidhean ceart fhoillseachadh airson meuran seasmhach an fhrithealaiche BIND DNS 9.11.31 agus 9.16.15, a bharrachd air meur deuchainneach 9.17.12, a tha ga leasachadh. Bidh na fiosan ùra a’ dèiligeadh ri trì so-leòntachd, agus tha aon dhiubh (CVE-2021-25216) ag adhbhrachadh thar-shruth bufair. Air siostaman 32-bit, faodar brath a ghabhail air an so-leòntachd gus còd neach-ionnsaigh a chuir an gnìomh air astar le bhith a’ cur iarrtas sònraichte GSS-TSIG a-steach. Air siostaman 64 tha an duilgheadas cuingealaichte ri tubaist a 'phròiseas ainmichte.
Cha nochd an duilgheadas ach nuair a tha an uidheamachd GSS-TSIG air a chomasachadh, air a ghnìomhachadh a’ cleachdadh na roghainnean tkey-gssapi-keytab agus tkey-gssapi-credential. Tha GSS-TSIG à comas san t-suidheachadh bunaiteach agus mar as trice bidh e air a chleachdadh ann an àrainneachdan measgaichte far a bheil BIND air a chur còmhla ri riaghladairean àrainn Active Directory, no nuair a bhios e ag amalachadh le Samba.
Tha an so-leòntachd air adhbhrachadh le mearachd ann am buileachadh inneal SPNEGO (Inneal Co-rèiteachaidh GSSAPI Simplidh agus Dìon), a thathar a’ cleachdadh ann an GSSAPI gus na dòighean dìon a chleachdas an neach-dèiligidh agus an frithealaiche a cho-rèiteachadh. Tha GSSAPI air a chleachdadh mar phròtacal àrd-ìre airson iomlaid iuchrach tèarainte a’ cleachdadh an leudachadh GSS-TSIG a thathar a’ cleachdadh ann a bhith a’ dearbhadh ùrachaidhean sòn DNS fiùghantach.
Leis gun deach so-leòntachd èiginneach ann am buileachadh SPNEGO a lorg roimhe seo, chaidh buileachadh a’ phròtacal seo a thoirt air falbh bho bhunait còd BIND 9. Airson luchd-cleachdaidh a dh’ fheumas taic SPNEGO, thathas a’ moladh buileachadh bhon taobh a-muigh a thug an GSSAPI seachad a chleachdadh. leabharlann siostam (air a sholarachadh ann an MIT Kerberos agus Heimdal Kerberos).
Faodaidh luchd-cleachdaidh seann dreachan de BIND, mar dhòigh-obrach airson an duilgheadas a bhacadh, GSS-TSIG a chuir dheth anns na roghainnean (roghainnean tkey-gssapi-keytab agus tkey-gssapi-credential) no BIND ath-thogail às aonais taic don inneal SPNEGO (roghainn" - -disable-isc-spnego" ann an sgriobt "configure"). Faodaidh tu sùil a chumail air na tha ri fhaighinn de dh’ ùrachaidhean ann an sgaoilidhean air na duilleagan a leanas: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Tha pasganan RHEL agus ALT Linux gan togail às aonais taic SPNEGO dùthchasach.
A bharrachd air an sin, tha dà chugallachd eile stèidhichte anns na h-ùrachaidhean BIND sin:
- CVE-2021-25215 - thuit am pròiseas ainmichte nuair a bha e a’ giullachd chlàran DNAME (giollachd ath-stiùireadh pàirt de subdomains), a lean gu bhith a’ cur leth-bhreacan ris an roinn FREAGAIRT. Le bhith a’ gabhail brath air so-leòntachd air frithealaichean DNS ùghdarrasach feumar atharrachaidhean a dhèanamh air na sònaichean DNS giullachd, agus airson frithealaichean ath-chuairteachaidh, gheibhear an clàr trioblaideach às deidh fios a chuir chun t-seirbheisiche ùghdarrasach.
- CVE-2021-25214 - Bidh am pròiseas ainmichte a ’tuiteam nuair a bhios tu a’ giullachd iarrtas IXFR a tha air a dhealbhadh gu sònraichte (air a chleachdadh gus atharrachaidhean ann an sònaichean DNS a ghluasad eadar frithealaichean DNS). Chan eil an duilgheadas a’ toirt buaidh ach air siostaman a cheadaich gluasadan sòn DNS bho fhrithealaiche an neach-ionnsaigh (mar as trice bidh gluasadan sòn air an cleachdadh gus frithealaichean maighstir is tràillean a shioncronachadh agus chan eil iad ceadaichte ach airson frithealaichean earbsach a-mhàin). Mar fhuasgladh tèarainteachd, faodaidh tu taic IXFR a dhì-cheadachadh a’ cleachdadh an t-suidheachaidh “request-ixfr no;”.
Source: fosgailtenet.ru