Leiðréttingaruppfærslur hafa verið birtar fyrir stöðugar greinar BIND DNS netþjónsins 9.11.31 og 9.16.15, auk tilraunaútibúsins 9.17.12, sem er í þróun. Nýju útgáfurnar taka á þremur veikleikum, þar af einn (CVE-2021-25216) sem veldur yfirflæði biðminni. Í 32-bita kerfum er hægt að nýta veikleikann til að keyra kóða árásarmanns í fjarvinnu með því að senda sérútbúna GSS-TSIG beiðni. Á 64 kerfum er vandamálið takmarkað við hrun á nafngreindu ferli.
Vandamálið birtist aðeins þegar GSS-TSIG vélbúnaðurinn er virkur, virkjaður með því að nota tkey-gssapi-keytab og tkey-gssapi-skilríkisstillingarnar. GSS-TSIG er óvirkt í sjálfgefna stillingu og er venjulega notað í blönduðu umhverfi þar sem BIND er sameinað með Active Directory lénsstýringum, eða þegar það er samþætt við Samba.
Varnarleysið stafar af villu í innleiðingu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) vélbúnaðarins, sem notaður er í GSSAPI til að semja um verndaraðferðirnar sem viðskiptavinurinn og þjónninn notar. GSSAPI er notað sem samskiptareglur á háu stigi fyrir örugga lyklaskipti með því að nota GSS-TSIG viðbótina sem notuð er í því ferli að auðkenna kraftmikla DNS svæðisuppfærslur.
Vegna þess að mikilvægir veikleikar í innbyggðri útfærslu SPNEGO hafa fundist áður hefur innleiðing þessarar samskiptareglur verið fjarlægð úr kóðagrunni BIND 9. Fyrir notendur sem þurfa SPNEGO stuðning er mælt með því að nota ytri útfærslu sem GSSAPI veitir kerfissafn (veitt í MIT Kerberos og Heimdal Kerberos).
Notendur eldri útgáfur af BIND, sem lausn til að loka á vandamálið, geta slökkt á GSS-TSIG í stillingunum (valkostir tkey-gssapi-keytab og tkey-gssapi-credential) eða endurbyggt BIND án stuðnings fyrir SPNEGO vélbúnaðinn (valkostur "- -disable-isc-spnego" í handritinu "configure"). Þú getur fylgst með framboði á uppfærslum í dreifingum á eftirfarandi síðum: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL og ALT Linux pakkar eru smíðaðir án innfædds SPNEGO stuðnings.
Að auki eru tveir veikleikar til viðbótar lagaðir í umræddum BIND uppfærslum:
- CVE-2021-25215 — nafngreinda ferlið hrundi þegar unnið var úr DNAME færslum (framsenda vinnsla hluta undirléna), sem leiddi til þess að afritum var bætt við SVAR hlutann. Til að nýta varnarleysið á opinberum DNS-þjónum þarf að gera breytingar á unnum DNS-svæðunum og fyrir endurkvæma netþjóna er hægt að nálgast vandamálaskrána eftir að hafa haft samband við opinberan netþjón.
- CVE-2021-25214 – Nafnt ferli hrynur þegar unnið er úr sérútbúinni IXFR beiðni (notað til að flytja breytingar á DNS svæðum í skrefum á milli DNS netþjóna). Vandamálið hefur aðeins áhrif á kerfi sem hafa leyft flutning á DNS svæði frá netþjóni árásarmannsins (venjulega eru svæðisflutningar notaðir til að samstilla aðal- og þrælaþjóna og eru eingöngu leyfðar fyrir áreiðanlega netþjóna). Sem öryggislausn geturðu slökkt á IXFR stuðningi með því að nota „request-ixfr no;“ stillinguna.
Heimild: opennet.ru