🥇עדכון שרת DNS BIND להסרת פגיעות ביצוע קוד מרחוק

פורסמו עדכונים מתקנים עבור הענפים היציבים של שרת ה-BIND DNS 9.11.31 ו-9.16.15 וכן לענף הניסיוני 9.17.12 שנמצא בפיתוח. המהדורות החדשות מטפלות בשלוש נקודות תורפה, אחת מהן (CVE-2021-25216) גורמת להצפת מאגר. במערכות 32 סיביות, ניתן לנצל את הפגיעות לביצוע מרחוק של קוד של תוקף על ידי שליחת בקשת GSS-TSIG בעלת מבנה מיוחד. ב-64 מערכות הבעיה מוגבלת לקריסה של התהליך הנקוב.

הבעיה מופיעה רק כאשר מנגנון GSS-TSIG מופעל, מופעל באמצעות הגדרות tkey-gssapi-keytab ו-tkey-gssapi-credential. GSS-TSIG מושבת בתצורת ברירת המחדל ומשמש בדרך כלל בסביבות מעורבות שבהן BIND משולב עם בקרי תחום Active Directory, או בעת שילוב עם Samba.

הפגיעות נגרמת משגיאה ביישום מנגנון SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) המשמש ב-GSSAPI כדי לנהל משא ומתן על שיטות ההגנה המשמשות את הלקוח והשרת. GSSAPI משמש כפרוטוקול ברמה גבוהה להחלפת מפתחות מאובטחת באמצעות תוסף GSS-TSIG המשמש בתהליך אימות עדכוני אזורי DNS דינמיים.

מכיוון שכבר נמצאו נקודות תורפה קריטיות ביישום המובנה של SPNEGO, היישום של פרוטוקול זה הוסר מבסיס הקוד BIND 9. למשתמשים הזקוקים לתמיכה ב-SPNEGO, מומלץ להשתמש ביישום חיצוני המסופק על ידי ה-GSSAPI ספריית מערכת (מסופקת ב-MIT Kerberos ו-Heimdal Kerberos).

משתמשים של גרסאות ישנות יותר של BIND, כפתרון עוקף לחסימת הבעיה, יכולים להשבית את GSS-TSIG בהגדרות (אפשרויות tkey-gssapi-keytab ו-tkey-gssapi-credential) או לבנות מחדש את BIND ללא תמיכה במנגנון SPNEGO (אפשרות "- -disable-isc-spnego" בסקריפט "configure"). אתה יכול לעקוב אחר זמינות העדכונים בהפצות בדפים הבאים: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. חבילות RHEL ו-ALT Linux בנויות ללא תמיכה מקורית של SPNEGO.

בנוסף, שתי פגיעויות נוספות מתוקנות בעדכוני BIND המדוברים:

CVE-2021-25215 - התהליך ששמו קרס בעת עיבוד רשומות DNAME (עיבוד מחדש של חלק מתת-דומיינים), מה שהוביל להוספת כפילויות לקטע ANSWER. ניצול הפגיעות בשרתי DNS סמכותיים מחייב ביצוע שינויים באזורי ה-DNS המעובדים, ולגבי שרתים רקורסיביים ניתן לקבל את הרשומה הבעייתית לאחר פנייה לשרת הסמכותי.
CVE-2021-25214 - התהליך הנקרא קורס בעת עיבוד בקשת IXFR נכנסת בעלת מבנה מיוחד (משמש להעברת שינויים הדרגתיים באזורי DNS בין שרתי DNS). הבעיה משפיעה רק על מערכות שאפשרו העברות אזורי DNS מהשרת של התוקף (בדרך כלל העברות אזורים משמשות לסנכרון שרתי מאסטר ושרת עבדים ומתירות באופן סלקטיבי רק עבור שרתים מהימנים). כפתרון אבטחה, אתה יכול להשבית את תמיכת IXFR באמצעות ההגדרה "request-ixfr no;".

מקור: OpenNet.ru

עדכון שרת BIND DNS כדי לתקן פגיעות של ביצוע קוד מרחוק

הוספת תגובה ביטול תגובה