Nganyari korektif wis diterbitake kanggo cabang stabil server BIND DNS 9.11.31 lan 9.16.15, uga cabang eksperimen 9.17.12, sing lagi dikembangake. Rilis anyar ngatasi telung kerentanan, salah sijine (CVE-2021-25216) nyebabake kebanjiran buffer. Ing sistem 32-bit, kerentanan bisa dimanfaatake kanggo nglakokake kode panyerang saka jarak jauh kanthi ngirim panjaluk GSS-TSIG sing digawe khusus. Ing 64 sistem masalah diwatesi kanggo kacilakan proses sing dijenengi.
Masalah kasebut mung katon nalika mekanisme GSS-TSIG diaktifake, diaktifake nggunakake setelan tkey-gssapi-keytab lan tkey-gssapi-credential. GSS-TSIG dipatèni ing konfigurasi gawan lan biasane digunakake ing lingkungan mixed ngendi BIND digabungake karo pengontrol domain Active Directory, utawa nalika nggabungake karo Samba.
Kerentanan disababakΓ© dΓ©ning kesalahan ing implementasine saka mekanisme SPNEGO (Simple lan dilindhungi GSSAPI Rembugan Mekanisme), digunakake ing GSSAPI kanggo rembugan cara pangayoman digunakake dening klien lan server. GSSAPI digunakake minangka protokol tingkat dhuwur kanggo ijol-ijolan kunci aman nggunakake ekstensi GSS-TSIG digunakake ing proses otentikasi nganyari zona DNS dinamis.
Amarga kerentanan kritis ing implementasine SPNEGO sing dibangun wis ditemokake sadurunge, implementasi protokol iki wis dibusak saka basis kode BIND 9. Kanggo pangguna sing mbutuhake dhukungan SPNEGO, disaranake nggunakake implementasi eksternal sing diwenehake dening GSSAPI. perpustakaan sistem (kasedhiya ing MIT Kerberos lan Heimdal Kerberos).
Pangguna versi lawas BIND, minangka solusi kanggo mblokir masalah, bisa mateni GSS-TSIG ing setelan (opsi tkey-gssapi-keytab lan tkey-gssapi-credential) utawa mbangun maneh BIND tanpa dhukungan kanggo mekanisme SPNEGO (opsi "- -disable-isc-spnego" ing skrip "konfigurasi"). Sampeyan bisa nglacak kasedhiyan nganyari ing distribusi ing kaca ing ngisor iki: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Paket RHEL lan ALT Linux dibangun tanpa dhukungan SPNEGO asli.
Kajaba iku, loro kerentanan liyane didandani ing nganyari BIND sing ana gandhengane:
- CVE-2021-25215 β proses sing dijenengi nabrak nalika ngolah cathetan DNAME (pangalihan pangolahan bagean saka subdomain), ndadΓ©kakΓ© kanggo nambah duplikat menyang bagean ANSWER. Eksploitasi kerentanan ing server DNS otoritatif mbutuhake owah-owahan ing zona DNS sing diproses, lan kanggo server rekursif, rekaman masalah bisa dipikolehi sawise ngubungi server otoritatif.
- CVE-2021-25214 - Proses sing diarani nabrak nalika ngolah panjaluk IXFR mlebu sing digawe khusus (digunakake kanggo mindhah owah-owahan ing zona DNS ing antarane server DNS). Masalah mung mengaruhi sistem sing ngidini transfer zona DNS saka server panyerang (biasane transfer zona digunakake kanggo nyinkronake server master lan slave lan diidini mung kanggo server sing bisa dipercaya). Minangka solusi keamanan, sampeyan bisa mateni dhukungan IXFR nggunakake setelan "request-ixfr no;".
Source: opennet.ru