Publicáronse actualizacións correctivas para as ramas estables do servidor BIND DNS 9.11.31 e 9.16.15, así como a rama experimental 9.17.12, que está en desenvolvemento. As novas versións abordan tres vulnerabilidades, unha das cales (CVE-2021-25216) provoca un desbordamento do búfer. Nos sistemas de 32 bits, a vulnerabilidade pódese explotar para executar remotamente o código dun atacante enviando unha solicitude GSS-TSIG especialmente elaborada. Nos sistemas 64 o problema limítase á falla do proceso nomeado.
O problema só aparece cando o mecanismo GSS-TSIG está activado, activado mediante a configuración tkey-gssapi-keytab e tkey-gssapi-credential. GSS-TSIG está desactivado na configuración predeterminada e normalmente úsase en ambientes mixtos onde BIND se combina con controladores de dominio de Active Directory ou cando se integra con Samba.
A vulnerabilidade prodúcese por un erro na implementación do mecanismo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), usado en GSSAPI para negociar os métodos de protección empregados polo cliente e o servidor. GSSAPI utilízase como protocolo de alto nivel para o intercambio de claves seguro mediante a extensión GSS-TSIG utilizada no proceso de autenticación de actualizacións dinámicas da zona DNS.
Dado que se atoparon anteriormente vulnerabilidades críticas na implementación integrada de SPNEGO, a implementación deste protocolo eliminouse da base de código BIND 9. Para os usuarios que precisen soporte de SPNEGO, recoméndase utilizar unha implementación externa proporcionada pola GSSAPI. biblioteca do sistema (proporcionada en MIT Kerberos e Heimdal Kerberos).
Os usuarios de versións antigas de BIND, como solución alternativa para bloquear o problema, poden desactivar GSS-TSIG na configuración (opcións tkey-gssapi-keytab e tkey-gssapi-credential) ou reconstruír BIND sen compatibilidade co mecanismo SPNEGO (opción "- -disable-isc-spnego" no script "configure"). Podes facer un seguimento da dispoñibilidade de actualizacións nas distribucións nas seguintes páxinas: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Os paquetes RHEL e ALT Linux constrúense sen soporte nativo de SPNEGO.
Ademais, solucionáronse dúas vulnerabilidades máis nas actualizacións de BIND en cuestión:
- CVE-2021-25215: o proceso nomeado fallou ao procesar rexistros DNAME (procesamento de redirección de parte dos subdominios), o que provocou a adición de duplicados á sección RESPOSTA. A explotación da vulnerabilidade en servidores DNS autorizados require realizar cambios nas zonas DNS procesadas e, para os servidores recursivos, o rexistro problemático pódese obter despois de contactar co servidor autorizado.
- CVE-2021-25214: o proceso nomeado falla ao procesar unha solicitude IXFR entrante especialmente elaborada (utilizada para transferir de forma incremental cambios nas zonas DNS entre servidores DNS). O problema afecta só aos sistemas que permitiron transferencias de zona DNS desde o servidor do atacante (normalmente as transferencias de zona úsanse para sincronizar servidores mestre e escravo e só se permiten selectivamente para servidores fiables). Como solución de seguridade, pode desactivar a compatibilidade con IXFR usando a configuración "request-ixfr no;".
Fonte: opennet.ru