🥇BIND DNS સર્વર અપડેટ રિમોટ કોડ એક્ઝેક્યુશન નબળાઈને સુધારે છે

BIND DNS સર્વરની સ્થિર શાખાઓ, 9.11.31 અને 9.16.15, તેમજ પ્રાયોગિક 9.17.12 શાખા, જે હાલમાં વિકાસ હેઠળ છે, માટે સુધારાત્મક અપડેટ્સ પ્રકાશિત કરવામાં આવ્યા છે. નવી પ્રકાશનો ત્રણ નબળાઈઓને સુધારે છે, જેમાંથી એક (CVE-2021-25216) બફર ઓવરફ્લોમાં પરિણમે છે. 32-બીટ સિસ્ટમ્સ પર, આ નબળાઈનો ઉપયોગ ખાસ રચાયેલ GSS-TSIG વિનંતી મોકલીને રિમોટ કોડ ચલાવવા માટે કરી શકાય છે. 64-બીટ સિસ્ટમ્સ પર, સમસ્યા નામવાળી પ્રક્રિયાના ક્રેશ સુધી મર્યાદિત છે.

આ સમસ્યા ફક્ત ત્યારે જ થાય છે જ્યારે GSS-TSIG સક્ષમ હોય, જે tkey-gssapi-keytab અને tkey-gssapi-credencial સેટિંગ્સનો ઉપયોગ કરીને સક્રિય થાય છે. GSS-TSIG ડિફોલ્ટ ગોઠવણીમાં અક્ષમ હોય છે અને સામાન્ય રીતે મિશ્ર વાતાવરણમાં ઉપયોગમાં લેવાય છે જ્યાં BIND ને એક્ટિવ ડિરેક્ટરી ડોમેન નિયંત્રકો સાથે જોડવામાં આવે છે, અથવા જ્યારે Samba સાથે સંકલન કરવામાં આવે છે.

આ નબળાઈ SPNEGO (સિમ્પલ એન્ડ પ્રોટેક્ટેડ GSSAPI નેગોશિયેશન મિકેનિઝમ) મિકેનિઝમના અમલીકરણમાં ભૂલને કારણે થાય છે, જેનો ઉપયોગ GSSAPI માં ક્લાયન્ટ દ્વારા ઉપયોગમાં લેવાતા પ્રોટોકોલની વાટાઘાટો કરવા માટે થાય છે અને સર્વર સુરક્ષા પદ્ધતિઓ. GSS-TSIG એક્સટેન્શનનો ઉપયોગ કરીને સુરક્ષિત કી એક્સચેન્જ માટે GSSAPI નો ઉપયોગ ઉચ્ચ-સ્તરીય પ્રોટોકોલ તરીકે થાય છે, જેનો ઉપયોગ ગતિશીલ DNS ઝોન અપડેટ્સની અધિકૃતતા ચકાસવાની પ્રક્રિયામાં થાય છે.

બિલ્ટ-ઇન SPNEGO અમલીકરણમાં ગંભીર નબળાઈઓ અગાઉ ઓળખાઈ ગઈ હોવાથી, આ પ્રોટોકોલના અમલીકરણને BIND 9 કોડબેઝમાંથી દૂર કરવામાં આવ્યું છે. જે વપરાશકર્તાઓને SPNEGO સપોર્ટની જરૂર હોય છે તેમને GSSAPI સિસ્ટમ લાઇબ્રેરી (MIT Kerberos અને Heimdal Kerberos માં પ્રદાન કરેલ) દ્વારા પ્રદાન કરેલ બાહ્ય અમલીકરણનો ઉપયોગ કરવાની ભલામણ કરવામાં આવે છે.

ઉકેલ તરીકે, જૂના BIND વર્ઝનના વપરાશકર્તાઓ સેટિંગ્સમાં GSS-TSIG ને અક્ષમ કરી શકે છે (tkey-gssapi-keytab અને tkey-gssapi-credential પરિમાણો) અથવા SPNEGO સપોર્ટ વિના BIND ને ફરીથી કમ્પાઇલ કરી શકે છે ("configure" સ્ક્રિપ્ટમાં "--disable-isc-spnego" વિકલ્પ). તમે નીચેના પૃષ્ઠો પર તમારા વિતરણો માટે અપડેટ્સ ટ્રૅક કરી શકો છો: Debian, સુસ, Ubuntu, ફેડોરા, આર્ક Linux, ફ્રીબીએસડી, નેટબીએસડી. આરએચઇએલ અને એએલટી પેકેજો Linux બિલ્ટ-ઇન SPNEGO સપોર્ટ વિના કમ્પાઇલ કરવામાં આવે છે.

વધુમાં, વિચારણા હેઠળના BIND અપડેટ્સમાં બે વધુ નબળાઈઓ સુધારવામાં આવી હતી:

CVE-2021-25215 — DNAME રેકોર્ડ્સ (કેટલાક સબડોમેન્સની રીડાયરેક્ટ પ્રોસેસિંગ) ની પ્રક્રિયા કરતી વખતે નામવાળી પ્રક્રિયા ક્રેશ થઈ ગઈ, જેના પરિણામે ANSWER વિભાગમાં ડુપ્લિકેટ્સ ઉમેરવામાં આવ્યા. અધિકૃત DNS સર્વર્સ પર નબળાઈનો ઉપયોગ કરવા માટે પ્રક્રિયા કરવામાં આવતા DNS ઝોનમાં અને પુનરાવર્તિત ઝોન માટે ફેરફારોની જરૂર પડે છે. સર્વર્સ સમસ્યારૂપ રેકોર્ડ અધિકૃત સર્વરનો સંપર્ક કરીને મેળવી શકાય છે.
CVE-2021-25214 — નામવાળી પ્રક્રિયા ખાસ રચાયેલ ઇનકમિંગ IXFR વિનંતી (DNS સર્વર્સ વચ્ચે DNS ઝોન ફેરફારોના વધારાના ટ્રાન્સફર માટે વપરાય છે) ની પ્રક્રિયા કરતી વખતે ક્રેશ થઈ ગઈ. આ નબળાઈ ફક્ત તે સિસ્ટમોને અસર કરે છે જેમણે હુમલાખોરના સર્વરમાંથી DNS ઝોન ટ્રાન્સફર સક્ષમ કર્યા છે (ઝોન ટ્રાન્સફરનો ઉપયોગ સામાન્ય રીતે માસ્ટર અને સ્લેવ સર્વર્સને સિંક્રનાઇઝ કરવા માટે થાય છે અને ફક્ત વિશ્વસનીય સર્વર્સ માટે પસંદગીયુક્ત રીતે સક્ષમ કરવામાં આવે છે). ઉકેલ તરીકે, IXFR સપોર્ટને "request-ixfr no;" સેટિંગનો ઉપયોગ કરીને અક્ષમ કરી શકાય છે.

સોર્સ: opennet.ru

રિમોટ કોડ એક્ઝેક્યુશન નબળાઈને ઠીક કરવા BIND DNS સર્વરને અપડેટ કરી રહ્યું છે