રિમોટ કોડ એક્ઝેક્યુશન નબળાઈને ઠીક કરવા BIND DNS સર્વરને અપડેટ કરી રહ્યું છે

BIND DNS સર્વર 9.11.31 અને 9.16.15ની સ્થિર શાખાઓ તેમજ પ્રાયોગિક શાખા 9.17.12 માટે સુધારાત્મક અપડેટ્સ પ્રકાશિત કરવામાં આવ્યા છે, જે વિકાસમાં છે. નવા પ્રકાશનો ત્રણ નબળાઈઓને સંબોધિત કરે છે, જેમાંથી એક (CVE-2021-25216) બફર ઓવરફ્લોનું કારણ બને છે. 32-બીટ સિસ્ટમ્સ પર, ખાસ ઘડાયેલ GSS-TSIG વિનંતી મોકલીને હુમલાખોરના કોડને દૂરસ્થ રીતે ચલાવવા માટે નબળાઈનો ઉપયોગ કરી શકાય છે. 64 સિસ્ટમો પર સમસ્યા નામની પ્રક્રિયાના ક્રેશ સુધી મર્યાદિત છે.

સમસ્યા ત્યારે જ દેખાય છે જ્યારે GSS-TSIG મિકેનિઝમ સક્ષમ હોય, tkey-gssapi-keytab અને tkey-gssapi-ક્રડેન્શિયલ સેટિંગ્સનો ઉપયોગ કરીને સક્રિય કરવામાં આવે. GSS-TSIG એ ડિફૉલ્ટ રૂપરેખાંકનમાં અક્ષમ છે અને સામાન્ય રીતે મિશ્ર વાતાવરણમાં ઉપયોગમાં લેવાય છે જ્યાં BIND ને સક્રિય ડિરેક્ટરી ડોમેન નિયંત્રકો સાથે જોડવામાં આવે છે, અથવા જ્યારે સામ્બા સાથે સંકલિત કરવામાં આવે છે.

ક્લાયંટ અને સર્વર દ્વારા ઉપયોગમાં લેવાતી સુરક્ષા પદ્ધતિઓની વાટાઘાટ કરવા માટે GSSAPI માં ઉપયોગમાં લેવાતી SPNEGO (સિમ્પલ એન્ડ પ્રોટેક્ટેડ GSSAPI નેગોશિયેશન મિકેનિઝમ) મિકેનિઝમના અમલીકરણમાં ભૂલને કારણે નબળાઈ સર્જાય છે. GSSAPI નો ઉપયોગ GSS-TSIG એક્સટેન્શનનો ઉપયોગ કરીને સુરક્ષિત કી વિનિમય માટે ઉચ્ચ-સ્તરના પ્રોટોકોલ તરીકે થાય છે જેનો ઉપયોગ ગતિશીલ DNS ઝોન અપડેટ્સને પ્રમાણિત કરવાની પ્રક્રિયામાં થાય છે.

કારણ કે SPNEGO ના બિલ્ટ-ઇન અમલીકરણમાં નિર્ણાયક નબળાઈઓ અગાઉ મળી આવી હતી, આ પ્રોટોકોલના અમલીકરણને BIND 9 કોડ બેઝમાંથી દૂર કરવામાં આવ્યું છે. જે વપરાશકર્તાઓને SPNEGO સમર્થનની જરૂર હોય, તેમના માટે GSSAPI દ્વારા પ્રદાન કરાયેલ બાહ્ય અમલીકરણનો ઉપયોગ કરવાની ભલામણ કરવામાં આવે છે. સિસ્ટમ લાઇબ્રેરી (MIT કર્બેરોસ અને હેઇમડલ કર્બેરોસમાં પ્રદાન કરવામાં આવી છે).

BIND ના જૂના સંસ્કરણોના વપરાશકર્તાઓ, સમસ્યાને અવરોધિત કરવાના ઉપાય તરીકે, GSS-TSIG ને સેટિંગ્સમાં અક્ષમ કરી શકે છે (વિકલ્પો tkey-gssapi-keytab અને tkey-gssapi-credential) અથવા SPNEGO મિકેનિઝમ (વિકલ્પ "-) માટે સમર્થન વિના BIND ફરીથી બનાવી શકે છે. સ્ક્રિપ્ટ "રૂપરેખાંકિત કરો" માં -disable-isc-spnego). તમે નીચેના પૃષ્ઠો પર વિતરણોમાં અપડેટ્સની ઉપલબ્ધતાને ટ્રૅક કરી શકો છો: ડેબિયન, SUSE, ઉબુન્ટુ, ફેડોરા, આર્ક લિનક્સ, ફ્રીબીએસડી, નેટબીએસડી. RHEL અને ALT Linux પેકેજો મૂળ SPNEGO સપોર્ટ વિના બનાવવામાં આવ્યા છે.

વધુમાં, પ્રશ્નમાં BIND અપડેટ્સમાં બે વધુ નબળાઈઓ નિશ્ચિત કરવામાં આવી છે:

• CVE-2021-25215 — DNAME રેકોર્ડની પ્રક્રિયા કરતી વખતે નામવાળી પ્રક્રિયા ક્રેશ થઈ ગઈ (સબડોમેન્સના ભાગની રીડાયરેક્ટ પ્રોસેસિંગ), જેના કારણે ANSWER વિભાગમાં ડુપ્લિકેટ્સ ઉમેરવામાં આવ્યા. અધિકૃત DNS સર્વર્સ પર નબળાઈનો ઉપયોગ કરવા માટે પ્રોસેસ્ડ DNS ઝોનમાં ફેરફાર કરવાની જરૂર છે, અને પુનરાવર્તિત સર્વર્સ માટે, અધિકૃત સર્વરનો સંપર્ક કર્યા પછી સમસ્યારૂપ રેકોર્ડ મેળવી શકાય છે.
• CVE-2021-25214 - નામવાળી પ્રક્રિયા ક્રેશ થાય છે જ્યારે ખાસ રચિત ઇનકમિંગ IXFR વિનંતી પર પ્રક્રિયા કરવામાં આવે છે (DNS સર્વર્સ વચ્ચે DNS ઝોનમાં ફેરફારોને વધારાના સ્થાનાંતરિત કરવા માટે વપરાય છે). આ સમસ્યા માત્ર એવી સિસ્ટમોને અસર કરે છે કે જેણે હુમલાખોરના સર્વરમાંથી DNS ઝોન ટ્રાન્સફરની મંજૂરી આપી હોય (સામાન્ય રીતે ઝોન ટ્રાન્સફરનો ઉપયોગ માસ્ટર અને સ્લેવ સર્વર્સને સિંક્રનાઇઝ કરવા માટે કરવામાં આવે છે અને માત્ર વિશ્વાસપાત્ર સર્વર્સ માટે પસંદગીની મંજૂરી આપવામાં આવે છે). સુરક્ષા ઉપાય તરીકે, તમે “request-ixfr no;” સેટિંગનો ઉપયોગ કરીને IXFR સપોર્ટને અક્ષમ કરી શકો છો.

સોર્સ: opennet.ru