Հրապարակվել են ուղղիչ թարմացումներ BIND DNS սերվերի 9.11.31 և 9.16.15 կայուն մասնաճյուղերի, ինչպես նաև 9.17.12 փորձնական ճյուղի համար, որը մշակման փուլում է։ Նոր թողարկումներն անդրադառնում են երեք խոցելիության, որոնցից մեկը (CVE-2021-25216) առաջացնում է բուֆերի արտահոսք: 32-բիթանոց համակարգերում խոցելիությունը կարող է օգտագործվել հարձակվողի կոդը հեռակա կարգով գործարկելու համար՝ ուղարկելով հատուկ մշակված GSS-TSIG հարցում: 64 համակարգերում խնդիրը սահմանափակվում է նշված գործընթացի խափանումով:
Խնդիրն ի հայտ է գալիս միայն այն ժամանակ, երբ միացված է GSS-TSIG մեխանիզմը, որը միացված է tkey-gssapi-keytab և tkey-gssapi-հավատարմագրերի կարգավորումների միջոցով: GSS-TSIG-ն անջատված է լռելյայն կազմաձևում և սովորաբար օգտագործվում է խառը միջավայրերում, որտեղ BIND-ը համակցված է Active Directory տիրույթի կարգավորիչների հետ կամ Samba-ի հետ ինտեգրվելիս:
Խոցելիությունը առաջացել է SPNEGO-ի (Պարզ և պաշտպանված GSSAPI բանակցային մեխանիզմ) մեխանիզմի ներդրման սխալի պատճառով, որն օգտագործվում է GSSAPI-ում՝ հաճախորդի և սերվերի կողմից օգտագործվող պաշտպանության մեթոդները բանակցելու համար: GSSAPI-ն օգտագործվում է որպես բարձր մակարդակի արձանագրություն անվտանգ բանալիների փոխանակման համար՝ օգտագործելով GSS-TSIG ընդլայնումը, որն օգտագործվում է դինամիկ DNS գոտու թարմացումների նույնականացման գործընթացում:
Քանի որ նախկինում հայտնաբերվել են SPNEGO-ի ներկառուցված ներդրման կարևոր խոցելիություններ, այս արձանագրության իրականացումը հեռացվել է BIND 9 կոդի բազայից: SPNEGO-ի աջակցություն պահանջող օգտատերերի համար խորհուրդ է տրվում օգտագործել GSSAPI-ի կողմից տրամադրված արտաքին իրականացումը: համակարգի գրադարան (տրամադրված է MIT Kerberos-ում և Heimdal Kerberos-ում):
BIND-ի հին տարբերակների օգտատերերը, որպես խնդրի արգելափակման միջոց, կարող են անջատել GSS-TSIG-ը կարգավորումներում (տարբերակներ tkey-gssapi-keytab և tkey-gssapi-credential) կամ վերակառուցել BIND-ը՝ առանց SPNEGO մեխանիզմի աջակցության (տարբերակ «- -disable-isc-spnego" սկրիպտում "configure"): Դուք կարող եք հետևել բաշխումների թարմացումների հասանելիությանը հետևյալ էջերում՝ Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD: RHEL և ALT Linux փաթեթները ստեղծվել են առանց հայրենի SPNEGO աջակցության:
Բացի այդ, ևս երկու խոցելիություն է ֆիքսված BIND-ի խնդրո առարկա թարմացումներում.
- CVE-2021-25215 — անվանված պրոցեսը խափանվել է DNAME գրառումները մշակելիս (ենթադոմեյնների մի մասի վերաուղղորդում), ինչը հանգեցրել է ANSWER բաժնում կրկնօրինակների ավելացմանը: Հեղինակավոր DNS սերվերների վրա խոցելիության օգտագործումը պահանջում է փոփոխություններ կատարել մշակված DNS գոտիներում, իսկ ռեկուրսիվ սերվերների համար խնդրահարույց գրառումը կարելի է ստանալ հեղինակավոր սերվերի հետ կապվելուց հետո:
- CVE-2021-25214 – Անվանված գործընթացը խափանում է հատուկ մշակված մուտքային IXFR հարցումը մշակելիս (օգտագործվում է DNS-ի գոտիներում փոփոխությունները DNS սերվերների միջև աստիճանաբար փոխանցելու համար): Խնդիրն ազդում է միայն այն համակարգերի վրա, որոնք թույլ են տվել DNS գոտի փոխանցումներ հարձակվողի սերվերից (սովորաբար գոտի փոխանցումներն օգտագործվում են հիմնական և ստրուկ սերվերները համաժամեցնելու համար և ընտրողաբար թույլատրվում են միայն վստահելի սերվերների համար): Որպես անվտանգության լուծում, դուք կարող եք անջատել IXFR-ի աջակցությունը՝ օգտագործելով «request-ixfr no;» պարամետրը:
Source: opennet.ru