Korrekciós frissítések jelentek meg a BIND DNS szerver 9.11.31 és 9.16.15 stabil ágaihoz, valamint a fejlesztés alatt álló 9.17.12 kísérleti ághoz. Az új kiadások három sebezhetőséget orvosolnak, amelyek közül az egyik (CVE-2021-25216) puffertúlcsordulást okoz. A 32 bites rendszereken a biztonsági rés kihasználható a támadó kódjának távoli végrehajtására egy speciálisan kialakított GSS-TSIG kérés elküldésével. 64 rendszereken a probléma a megnevezett folyamat összeomlására korlátozódik.
A probléma csak akkor jelenik meg, ha a GSS-TSIG mechanizmus engedélyezve van, aktiválva a tkey-gssapi-keytab és a tkey-gssapi-credential beállításokkal. A GSS-TSIG az alapértelmezett konfigurációban le van tiltva, és általában vegyes környezetekben használatos, ahol a BIND-t Active Directory tartományvezérlőkkel kombinálják, vagy amikor a Sambával integrálják.
A sérülékenységet az SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mechanizmus megvalósításának hibája okozza, amely a GSSAPI-ban az ügyfél és a szerver által használt védelmi módszerek egyeztetésére szolgál. A GSSAPI-t magas szintű protokollként használják a biztonságos kulcscseréhez a dinamikus DNS-zónafrissítések hitelesítési folyamatában használt GSS-TSIG kiterjesztéssel.
Mivel a SPNEGO beépített implementációjában már korábban is találtak kritikus sérülékenységet, ennek a protokollnak a megvalósítását eltávolítottuk a BIND 9 kódbázisból. Azon felhasználók számára, akik SPNEGO támogatást igényelnek, a GSSAPI által biztosított külső implementáció használata javasolt. rendszerkönyvtár (az MIT Kerberos és a Heimdal Kerberos által biztosított).
A BIND régebbi verzióinak felhasználói a probléma blokkolásának megoldásaként letilthatják a GSS-TSIG-t a beállításokban (opciók tkey-gssapi-keytab és tkey-gssapi-credential), vagy újraépíthetik a BIND-ot az SPNEGO mechanizmus támogatása nélkül ("-" opció -disable-isc-spnego" a "configure" szkriptben). A következő oldalakon nyomon követheti a frissítések elérhetőségét a disztribúciókban: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Az RHEL és ALT Linux csomagok natív SPNEGO támogatás nélkül készülnek.
Ezenkívül a szóban forgó BIND-frissítések további két sebezhetőségét javították:
- CVE-2021-25215 – a megnevezett folyamat összeomlott a DNAME-rekordok feldolgozása során (az altartományok egy részének átirányítása), ami ismétlődések hozzáadásához vezetett a VÁLASZ szakaszhoz. A sebezhetőség kihasználásához a mérvadó DNS-kiszolgálókon módosítani kell a feldolgozott DNS-zónákat, rekurzív szervereknél pedig a problémás rekordot a mérvadó szerverrel való kapcsolatfelvétel után lehet megszerezni.
- CVE-2021-25214 – A megnevezett folyamat összeomlik egy speciálisan kialakított bejövő IXFR kérés feldolgozásakor (a DNS-zónák változásainak DNS-kiszolgálók közötti fokozatos átvitelére). A probléma csak azokat a rendszereket érinti, amelyek engedélyezték a DNS-zónaátvitelt a támadó szerveréről (általában a zónaátvitelt a fő- és szolgakiszolgálók szinkronizálására használják, és szelektíven csak megbízható kiszolgálók számára engedélyezettek). Biztonsági megoldásként letilthatja az IXFR támogatását a „request-ixfr no;” beállítással.
Forrás: opennet.ru