Ua paʻi ʻia nā hoʻoponopono hoʻoponopono no nā lālā paʻa o ka BIND DNS server 9.11.31 a me 9.16.15, a me ka lālā hoʻokolohua 9.17.12, e hoʻomohala nei. Hoʻopuka nā mea hoʻokuʻu hou i ʻekolu mau nāwaliwali, ʻo kekahi o ia (CVE-2021-25216) ke kumu o ka hoʻoheheʻe ʻana. Ma nā ʻōnaehana 32-bit, hiki ke hoʻohana ʻia ka nāwaliwali e hoʻokō mamao i ke code o ka mea hoʻouka kaua ma o ka hoʻouna ʻana i kahi noi GSS-TSIG i hana ʻia. Ma nā ʻōnaehana 64 i kaupalena ʻia ka pilikia i ka hāʻule ʻana o ke kaʻina hana i kapa ʻia.
ʻIke wale ʻia ka pilikia ke hoʻohana ʻia ka mīkini GSS-TSIG, hoʻohana ʻia me ka hoʻohana ʻana i ka tkey-gssapi-keytab a me nā hoʻonohonoho tkey-gssapi-credential. Ua pio ʻo GSS-TSIG i ka hoʻonohonoho paʻamau a hoʻohana maʻamau ʻia i nā kaiapuni hui ʻia kahi i hui pū ʻia ai ʻo BIND me nā mea hoʻokele domain Active Directory, a i ka wā e hui pū ai me Samba.
Hoʻokumu ʻia ka nāwaliwali ma muli o ka hewa i ka hoʻokō ʻana i ka mīkini SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), i hoʻohana ʻia ma GSSAPI e kūkākūkā i nā ʻano pale i hoʻohana ʻia e ka mea kūʻai aku a me ke kikowaena. Hoʻohana ʻia ʻo GSSAPI ma ke ʻano he protocol kiʻekiʻe no ka hoʻololi kī paʻa me ka hoʻohana ʻana i ka hoʻonui GSS-TSIG i hoʻohana ʻia i ke kaʻina hana o ka hōʻoia ʻana i nā hoʻonui DNS dynamic.
Ma muli o ka loaʻa ʻana o nā nāwaliwali koʻikoʻi i ka hoʻokō ʻana o SPNEGO ma mua, ua wehe ʻia ka hoʻokō ʻana o kēia protocol mai ka waihona code BIND 9. No nā mea hoʻohana e koi ana i ke kākoʻo SPNEGO, ʻōlelo ʻia e hoʻohana i kahi hoʻokō waho i hāʻawi ʻia e ka GSSAPI waihona waihona (i hāʻawi ʻia ma MIT Kerberos a me Heimdal Kerberos).
Hiki i nā mea hoʻohana o nā mana kahiko o BIND, ma ke ʻano he hana no ka pale ʻana i ka pilikia, hiki ke hoʻopau i ka GSS-TSIG i nā hoʻonohonoho (koho tkey-gssapi-keytab a me tkey-gssapi-credential) a i ʻole kūkulu hou ʻia ʻo BIND me ke kākoʻo ʻole o ka mīkini SPNEGO (koho "- -disable-isc-spnego" ma ka palapala "hoʻonohonoho"). Hiki iā ʻoe ke hahai i ka loaʻa ʻana o nā mea hou i ka hāʻawi ʻana ma nā ʻaoʻao aʻe: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Kūkulu ʻia nā pūʻolo RHEL a me ALT Linux me ke kākoʻo SPNEGO maoli.
Hoʻohui ʻia, ua hoʻopaʻa ʻia ʻelua mau haʻahaʻa i loko o nā mea hou BIND i nīnau ʻia:
- CVE-2021-25215 — hāʻule ke kaʻina hana i kapa ʻia i ka wā e hoʻoili ai i nā moʻolelo DNAME (hoʻihoʻi hou i ka ʻāpana o nā subdomains), e alakaʻi ana i ka hoʻohui ʻana i nā kope i ka ʻāpana ANSWER. ʻO ka hoʻohana ʻana i ka nāwaliwali ma nā kikowaena DNS mana e pono ai e hoʻololi i nā ʻāpana DNS i hoʻoponopono ʻia, a no nā kikowaena recursive, hiki ke loaʻa ka moʻolelo pilikia ma hope o ka hoʻopili ʻana i ke kikowaena mana.
- CVE-2021-25214 - Ke hāʻule nei ke kaʻina hana i ka wā e hana ai i kahi noi IXFR i hana kūikawā ʻia (hoʻohana ʻia e hoʻololi i nā loli i nā wahi DNS ma waena o nā kikowaena DNS). Pili ka pilikia i nā ʻōnaehana wale nō i ʻae i ka hoʻololi ʻana o ka zona DNS mai ke kikowaena o ka mea hoʻouka (ʻo ka maʻamau e hoʻohana ʻia nā hoʻololi ʻāina e hoʻonohonoho i nā kikowaena haku a me nā kauā a koho wale ʻia no nā kikowaena hilinaʻi). Ma ke ʻano he hana palekana, hiki iā ʻoe ke hoʻopau i ke kākoʻo IXFR me ka hoʻohana ʻana i ka "noi-ixfr no;" hoʻonohonoho.
Source: opennet.ru