Pembaruan korektif telah diterbitkan untuk cabang stabil server DNS BIND 9.11.31 dan 9.16.15, serta cabang eksperimental 9.17.12, yang sedang dalam pengembangan. Rilis baru ini mengatasi tiga kerentanan, salah satunya (CVE-2021-25216) menyebabkan buffer overflow. Pada sistem 32-bit, kerentanan dapat dieksploitasi untuk mengeksekusi kode penyerang dari jarak jauh dengan mengirimkan permintaan GSS-TSIG yang dibuat khusus. Pada 64 sistem, masalahnya terbatas pada crash pada proses yang disebutkan.
Masalah hanya muncul ketika mekanisme GSS-TSIG diaktifkan, diaktifkan menggunakan pengaturan tkey-gssapi-keytab dan tkey-gssapi-credential. GSS-TSIG dinonaktifkan dalam konfigurasi default dan biasanya digunakan di lingkungan campuran tempat BIND digabungkan dengan pengontrol domain Direktori Aktif, atau saat berintegrasi dengan Samba.
Kerentanan tersebut disebabkan oleh kesalahan implementasi mekanisme SPNEGO (Mekanisme Negosiasi GSSAPI Sederhana dan Terlindungi), yang digunakan di GSSAPI untuk menegosiasikan metode perlindungan yang digunakan oleh klien dan server. GSSAPI digunakan sebagai protokol tingkat tinggi untuk pertukaran kunci yang aman menggunakan ekstensi GSS-TSIG yang digunakan dalam proses autentikasi pembaruan zona DNS dinamis.
Karena kerentanan kritis dalam implementasi bawaan SPNEGO telah ditemukan sebelumnya, implementasi protokol ini telah dihapus dari basis kode BIND 9. Bagi pengguna yang memerlukan dukungan SPNEGO, disarankan untuk menggunakan implementasi eksternal yang disediakan oleh GSSAPI perpustakaan sistem (disediakan di MIT Kerberos dan Heimdal Kerberos).
Pengguna BIND versi lama, sebagai solusi untuk memblokir masalah, dapat menonaktifkan GSS-TSIG di pengaturan (opsi tkey-gssapi-keytab dan tkey-gssapi-credential) atau membangun kembali BIND tanpa dukungan untuk mekanisme SPNEGO (opsi "- -disable-isc-spnego" dalam skrip "konfigurasi"). Anda dapat melacak ketersediaan pembaruan di distribusi di halaman berikut: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Paket RHEL dan ALT Linux dibuat tanpa dukungan asli SPNEGO.
Selain itu, dua kerentanan lainnya telah diperbaiki dalam pembaruan BIND yang dimaksud:
- CVE-2021-25215 β proses bernama mogok saat memproses data DNAME (pengalihan pemrosesan sebagian subdomain), menyebabkan penambahan duplikat ke bagian ANSWER. Memanfaatkan kerentanan pada server DNS otoritatif memerlukan perubahan pada zona DNS yang diproses, dan untuk server rekursif, catatan masalah dapat diperoleh setelah menghubungi server otoritatif.
- CVE-2021-25214 β Proses bernama terhenti saat memproses permintaan IXFR masuk yang dibuat khusus (digunakan untuk mentransfer perubahan zona DNS antar server DNS secara bertahap). Masalahnya hanya mempengaruhi sistem yang mengizinkan transfer zona DNS dari server penyerang (biasanya transfer zona digunakan untuk menyinkronkan server master dan budak dan secara selektif hanya diperbolehkan untuk server yang dapat dipercaya). Sebagai solusi keamanan, Anda dapat menonaktifkan dukungan IXFR menggunakan pengaturan βrequest-ixfr no;β.
Sumber: opennet.ru