ืคืืจืกืื ืขืืืื ืื ืืชืงื ืื ืขืืืจ ืืขื ืคืื ืืืฆืืืื ืฉื ืฉืจืช ื-BIND DNS 9.11.31 ื-9.16.15 ืืื ืืขื ืฃ ืื ืืกืืื ื 9.17.12 ืฉื ืืฆื ืืคืืชืื. ืืืืืืจืืช ืืืืฉืืช ืืืคืืืช ืืฉืืืฉ ื ืงืืืืช ืชืืจืคื, ืืืช ืืื (CVE-2021-25216) ืืืจืืช ืืืฆืคืช ืืืืจ. ืืืขืจืืืช 32 ืกืืืืืช, ื ืืชื ืื ืฆื ืืช ืืคืืืขืืช ืืืืฆืืข ืืจืืืง ืฉื ืงืื ืฉื ืชืืงืฃ ืขื ืืื ืฉืืืืช ืืงืฉืช GSS-TSIG ืืขืืช ืืื ื ืืืืื. ื-64 ืืขืจืืืช ืืืขืื ืืืืืืช ืืงืจืืกื ืฉื ืืชืืืื ืื ืงืื.
ืืืขืื ืืืคืืขื ืจืง ืืืฉืจ ืื ืื ืื GSS-TSIG ืืืคืขื, ืืืคืขื ืืืืฆืขืืช ืืืืจืืช tkey-gssapi-keytab ื-tkey-gssapi-credential. GSS-TSIG ืืืฉืืช ืืชืฆืืจืช ืืจืืจืช ืืืืื ืืืฉืืฉ ืืืจื ืืื ืืกืืืืืช ืืขืืจืืืช ืฉืืื BIND ืืฉืืื ืขื ืืงืจื ืชืืื Active Directory, ืื ืืขืช ืฉืืืื ืขื Samba.
ืืคืืืขืืช ื ืืจืืช ืืฉืืืื ืืืืฉืื ืื ืื ืื SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) ืืืฉืืฉ ื-GSSAPI ืืื ืื ืื ืืฉื ืืืชื ืขื ืฉืืืืช ืืืื ื ืืืฉืืฉืืช ืืช ืืืงืื ืืืฉืจืช. GSSAPI ืืฉืืฉ ืืคืจืืืืงืื ืืจืื ืืืืื ืืืืืคืช ืืคืชืืืช ืืืืืืืช ืืืืฆืขืืช ืชืืกืฃ GSS-TSIG ืืืฉืืฉ ืืชืืืื ืืืืืช ืขืืืื ื ืืืืจื DNS ืืื ืืืื.
ืืืืืื ืฉืืืจ ื ืืฆืื ื ืงืืืืช ืชืืจืคื ืงืจืืืืืช ืืืืฉืื ืืืืื ื ืฉื SPNEGO, ืืืืฉืื ืฉื ืคืจืืืืงืื ืื ืืืกืจ ืืืกืืก ืืงืื BIND 9. ืืืฉืชืืฉืื ืืืงืืงืื ืืชืืืื ื-SPNEGO, ืืืืืฅ ืืืฉืชืืฉ ืืืืฉืื ืืืฆืื ื ืืืกืืคืง ืขื ืืื ื-GSSAPI ืกืคืจืืืช ืืขืจืืช (ืืกืืคืงืช ื-MIT Kerberos ื-Heimdal Kerberos).
ืืฉืชืืฉืื ืฉื ืืจืกืืืช ืืฉื ืืช ืืืชืจ ืฉื BIND, ืืคืชืจืื ืขืืงืฃ ืืืกืืืช ืืืขืื, ืืืืืื ืืืฉืืืช ืืช GSS-TSIG ืืืืืจืืช (ืืคืฉืจืืืืช tkey-gssapi-keytab ื-tkey-gssapi-credential) ืื ืืื ืืช ืืืืฉ ืืช BIND ืืื ืชืืืื ืืื ืื ืื SPNEGO (ืืคืฉืจืืช "- -disable-isc-spnego" ืืกืงืจืืคื "configure"). ืืชื ืืืื ืืขืงืื ืืืจ ืืืื ืืช ืืขืืืื ืื ืืืคืฆืืช ืืืคืื ืืืืื: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. ืืืืืืช RHEL ื-ALT Linux ืื ืืืืช ืืื ืชืืืื ืืงืืจืืช ืฉื SPNEGO.
ืื ืืกืฃ, ืฉืชื ืคืืืขืืืืช ื ืืกืคืืช ืืชืืงื ืืช ืืขืืืื ื BIND ืืืืืืจืื:
- CVE-2021-25215 - ืืชืืืื ืฉืฉืื ืงืจืก ืืขืช ืขืืืื ืจืฉืืืืช DNAME (ืขืืืื ืืืืฉ ืฉื ืืืง ืืชืช-ืืืืืื ืื), ืื ืฉืืืืื ืืืืกืคืช ืืคืืืืืืช ืืงืืข ANSWER. ื ืืฆืื ืืคืืืขืืช ืืฉืจืชื DNS ืกืืืืชืืื ืืืืื ืืืฆืืข ืฉืื ืืืื ืืืืืจื ื-DNS ืืืขืืืืื, ืืืืื ืฉืจืชืื ืจืงืืจืกืืืืื ื ืืชื ืืงืื ืืช ืืจืฉืืื ืืืขืืืชืืช ืืืืจ ืคื ืืื ืืฉืจืช ืืกืืืืชื.
- CVE-2021-25214 - ืืชืืืื ืื ืงืจื ืงืืจืก ืืขืช ืขืืืื ืืงืฉืช IXFR ื ืื ืกืช ืืขืืช ืืื ื ืืืืื (ืืฉืืฉ ืืืขืืจืช ืฉืื ืืืื ืืืจืืชืืื ืืืืืจื DNS ืืื ืฉืจืชื DNS). ืืืขืื ืืฉืคืืขื ืจืง ืขื ืืขืจืืืช ืฉืืคืฉืจื ืืขืืจืืช ืืืืจื DNS ืืืฉืจืช ืฉื ืืชืืงืฃ (ืืืจื ืืื ืืขืืจืืช ืืืืจืื ืืฉืืฉืืช ืืกื ืืจืื ืฉืจืชื ืืืกืืจ ืืฉืจืช ืขืืืื ืืืชืืจืืช ืืืืคื ืกืืงืืืื ืจืง ืขืืืจ ืฉืจืชืื ืืืืื ืื). ืืคืชืจืื ืืืืื, ืืชื ืืืื ืืืฉืืืช ืืช ืชืืืืช IXFR ืืืืฆืขืืช ืืืืืจื "request-ixfr no;".
ืืงืืจ: OpenNet.ru