Objavljena su popravna ažuriranja za stabilne grane BIND DNS poslužitelja 9.11.31 i 9.16.15, kao i za eksperimentalnu granu 9.17.12, koja je u razvoju. Nova izdanja rješavaju tri ranjivosti, od kojih jedna (CVE-2021-25216) uzrokuje prekoračenje međuspremnika. Na 32-bitnim sustavima, ranjivost se može iskoristiti za daljinsko izvršavanje koda napadača slanjem posebno izrađenog GSS-TSIG zahtjeva. Na 64 sustava problem je ograničen na pad navedenog procesa.
Problem se pojavljuje samo kada je omogućen GSS-TSIG mehanizam, aktiviran pomoću postavki tkey-gssapi-keytab i tkey-gssapi-credential. GSS-TSIG je onemogućen u zadanoj konfiguraciji i obično se koristi u mješovitim okruženjima gdje se BIND kombinira s kontrolerima domene Active Directory ili kada se integrira sa Sambom.
Ranjivost je uzrokovana pogreškom u implementaciji mehanizma SPNEGO (jednostavan i zaštićen GSSAPI pregovarački mehanizam), koji se koristi u GSSAPI-ju za pregovaranje zaštitnih metoda koje koriste klijent i poslužitelj. GSSAPI se koristi kao protokol visoke razine za sigurnu razmjenu ključeva pomoću ekstenzije GSS-TSIG koja se koristi u procesu provjere autentičnosti ažuriranja dinamičke DNS zone.
Budući da su ranije pronađene kritične ranjivosti u ugrađenoj implementaciji SPNEGO-a, implementacija ovog protokola je uklonjena iz baze koda BIND 9. Korisnicima kojima je potrebna SPNEGO podrška, preporučuje se korištenje vanjske implementacije koju pruža GSSAPI sistemska biblioteka (dostupna u MIT Kerberos i Heimdal Kerberos).
Korisnici starijih verzija BIND-a, kao zaobilazno rješenje za blokiranje problema, mogu onemogućiti GSS-TSIG u postavkama (opcije tkey-gssapi-keytab i tkey-gssapi-credential) ili ponovno izgraditi BIND bez podrške za SPNEGO mehanizam (opcija "- -disable-isc-spnego" u skripti "configure"). Dostupnost ažuriranja u distribucijama možete pratiti na sljedećim stranicama: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL i ALT Linux paketi izgrađeni su bez izvorne SPNEGO podrške.
Dodatno, još dvije ranjivosti popravljene su u dotičnim ažuriranjima BIND-a:
- CVE-2021-25215 — imenovani proces se srušio prilikom obrade DNAME zapisa (preusmjerena obrada dijela poddomena), što je dovelo do dodavanja duplikata u odjeljak ODGOVORA. Iskorištavanje ranjivosti na autoritativnim DNS poslužiteljima zahtijeva unošenje promjena u obrađene DNS zone, a za rekurzivne poslužitelje problematični zapis moguće je dobiti nakon kontaktiranja autoritativnog poslužitelja.
- CVE-2021-25214 – Navedeni proces se ruši prilikom obrade posebno izrađenog dolaznog IXFR zahtjeva (koristi se za postupni prijenos promjena u DNS zonama između DNS poslužitelja). Problem utječe samo na sustave koji su dopustili prijenose DNS zona s poslužitelja napadača (obično se prijenosi zona koriste za sinkronizaciju glavnog i podređenog poslužitelja i selektivno su dopušteni samo pouzdanim poslužiteljima). Kao sigurnosno rješenje, možete onemogućiti IXFR podršku pomoću postavke "request-ixfr no;".
Izvor: opennet.ru