修正アップデートは、BIND DNS サーバーの安定ブランチ 9.11.31 および 9.16.15、および開発中の実験ブランチ 9.17.12 に対して公開されました。 新しいリリースでは 2021 つの脆弱性に対処しており、そのうちの 25216 つ (CVE-32-64) はバッファ オーバーフローを引き起こします。 XNUMX ビット システムでは、この脆弱性が悪用され、特別に作成された GSS-TSIG リクエストを送信することで攻撃者のコードをリモートで実行する可能性があります。 XNUMX システムでは、問題は指定されたプロセスのクラッシュに限定されます。
この問題は、GSS-TSIG メカニズムが有効になっており、tkey-gssapi-keytab および tkey-gssapi-credential 設定を使用してアクティブ化されている場合にのみ発生します。 GSS-TSIG はデフォルト構成では無効になっており、通常は BIND が Active Directory ドメイン コントローラーと組み合わされる混合環境、または Samba と統合する場合に使用されます。
この脆弱性は、クライアントとサーバーが使用する保護方法をネゴシエートするために GSSAPI で使用される SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) メカニズムの実装におけるエラーによって引き起こされます。 GSSAPI は、動的 DNS ゾーン更新の認証プロセスで使用される GSS-TSIG 拡張機能を使用した安全なキー交換のための高レベル プロトコルとして使用されます。
SPNEGO の組み込み実装に重大な脆弱性が以前に発見されているため、このプロトコルの実装は BIND 9 コード ベースから削除されました。SPNEGO サポートが必要なユーザーには、GSSAPI によって提供される外部実装を使用することをお勧めします。システム ライブラリ (MIT Kerberos および Heimdal Kerberos で提供)。
古いバージョンの BIND のユーザーは、問題をブロックする回避策として、設定で GSS-TSIG を無効にするか (オプション tkey-gssapi-keytab および tkey-gssapi-credential)、SPNEGO メカニズムのサポートなしで BIND を再構築することができます (オプション "-スクリプト「configure」内の -disable-isc-spnego」)。 Debian、SUSE、Ubuntu、Fedora、Arch Linux、FreeBSD、NetBSD のページで、ディストリビューションでのアップデートの入手可能性を追跡できます。 RHEL および ALT Linux パッケージは、ネイティブ SPNEGO サポートなしで構築されています。
さらに、問題の BIND アップデートではさらに XNUMX つの脆弱性が修正されています。
- CVE-2021-25215 — DNAME レコードの処理 (サブドメインの一部のリダイレクト処理) 中に指定されたプロセスがクラッシュし、ANSWER セクションに重複が追加されました。 権威 DNS サーバーの脆弱性を悪用するには、処理された DNS ゾーンに変更を加える必要があり、再帰サーバーの場合は、権威サーバーに接続した後に問題のレコードを取得できます。
- CVE-2021-25214 – 特別に細工された受信 IXFR リクエスト (DNS サーバー間で DNS ゾーンの変更を段階的に転送するために使用される) を処理するときに、指定されたプロセスがクラッシュします。 この問題は、攻撃者のサーバーからの DNS ゾーン転送を許可したシステムにのみ影響します (通常、ゾーン転送はマスター サーバーとスレーブ サーバーを同期するために使用され、信頼できるサーバーに対してのみ選択的に許可されます)。 セキュリティの回避策として、「request-ixfr no;」設定を使用して IXFR サポートを無効にすることができます。
出所: オープンネット.ru