Mizajou korektif yo te pibliye pou branch ki estab nan sèvè BIND DNS 9.11.31 ak 9.16.15, osi byen ke branch eksperimantal 9.17.12, ki an devlopman. Nouvo lage yo adrese twa frajilite, youn nan yo (CVE-2021-25216) lakòz yon debòde tanpon. Sou sistèm 32-bit, vilnerabilite a ka eksplwate pou egzekite kòd yon atakè a adistans lè yo voye yon demann GSS-TSIG espesyalman fabrike. Sou sistèm 64 pwoblèm nan limite a aksidan an nan pwosesis la nonmen.
Pwoblèm nan parèt sèlman lè mekanis GSS-TSIG la aktive, aktive lè l sèvi avèk paramèt tkey-gssapi-keytab ak tkey-gssapi-credential. GSS-TSIG enfim nan konfigirasyon default la epi li anjeneral itilize nan anviwònman melanje kote BIND konbine avèk contrôleur domèn Active Directory, oswa lè entegre ak Samba.
Se vilnerabilite a ki te koze pa yon erè nan aplikasyon an nan SPNEGO (Senp ak Pwoteje GSSAPI Negosyasyon Mekanis), yo itilize nan GSSAPI pou negosye metòd pwoteksyon yo itilize pa kliyan an ak sèvè. GSSAPI yo itilize kòm yon pwotokòl wo nivo pou echanj kle an sekirite lè l sèvi avèk ekstansyon GSS-TSIG yo itilize nan pwosesis otantifikasyon dinamik zòn DNS mizajou.
Paske yo te jwenn frajilite kritik nan aplikasyon entegre SPNEGO a deja, yo te retire aplikasyon pwotokòl sa a nan baz kòd BIND 9. Pou itilizatè ki bezwen sipò SPNEGO, li rekòmande pou itilize yon aplikasyon ekstèn GSSAPI bay. bibliyotèk sistèm (bay nan MIT Kerberos ak Heimdal Kerberos).
Itilizatè ansyen vèsyon BIND, kòm yon solisyon pou bloke pwoblèm nan, ka enfim GSS-TSIG nan paramèt yo (opsyon tkey-gssapi-keytab ak tkey-gssapi-credential) oswa rebati BIND san sipò pou mekanis SPNEGO (opsyon "- -disable-isc-spnego" nan script "configure"). Ou ka swiv disponiblite mizajou nan distribisyon nan paj sa yo: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Pakè RHEL ak ALT Linux yo bati san sipò SPNEGO natif natal.
Anplis de sa, de frajilite plis yo fiks nan mizajou BIND yo nan kesyon an:
- CVE-2021-25215 — Pwosesis non an te fè aksidan lè yo t ap trete dosye DNAME (redireksyon pwosesis yon pati nan subdomains), ki mennen ale nan ajoute kopi nan seksyon REPONS la. Eksplwate vilnerabilite a sou sèvè DNS autorité mande pou fè chanjman nan zòn DNS trete yo, epi pou sèvè rekursif, dosye pwoblèm nan ka jwenn apre kontakte sèvè a autorité.
- CVE-2021-25214 – Pwosesis ki rele a aksidan lè w ap trete yon demann IXFR ki fèk ap rantre espesyalman (ki itilize pou transfere chanjman nan zòn DNS ant sèvè DNS). Pwoblèm lan afekte sèlman sistèm ki pèmèt transfè zòn DNS soti nan sèvè atak la (anjeneral transfè zòn yo itilize pou senkronize sèvè mèt ak esklav epi yo oaza sèlman pou sèvè ki fè konfyans). Kòm yon solisyon sekirite, ou ka enfim sipò IXFR lè l sèvi avèk "request-ixfr no;" paramèt.
Sous: opennet.ru