🥇BIND DNS სერვერის განახლება დისტანციური კოდის შესრულების დაუცველობის მოსაშორებლად

გამოქვეყნებულია მაკორექტირებელი განახლებები BIND DNS სერვერის 9.11.31 და 9.16.15 სტაბილური ფილიალებისთვის, ასევე 9.17.12 ექსპერიმენტული ფილიალისთვის, რომელიც დამუშავების პროცესშია. ახალი გამოშვებები ეხება სამ დაუცველობას, რომელთაგან ერთი (CVE-2021-25216) იწვევს ბუფერის გადინებას. 32-ბიტიან სისტემებზე, დაუცველობის გამოყენება შესაძლებელია თავდამსხმელის კოდის დისტანციურად შესასრულებლად სპეციალურად შემუშავებული GSS-TSIG მოთხოვნის გაგზავნით. 64 სისტემაზე პრობლემა შემოიფარგლება დასახელებული პროცესის ავარიით.

პრობლემა ჩნდება მხოლოდ მაშინ, როდესაც ჩართულია GSS-TSIG მექანიზმი, რომელიც გააქტიურებულია tkey-gssapi-keytab და tkey-gssapi-credential პარამეტრების გამოყენებით. GSS-TSIG გამორთულია ნაგულისხმევ კონფიგურაციაში და ჩვეულებრივ გამოიყენება შერეულ გარემოში, სადაც BIND კომბინირებულია Active Directory დომენის კონტროლერებთან, ან Samba-სთან ინტეგრაციისას.

დაუცველობა გამოწვეულია შეცდომით SPNEGO (მარტივი და დაცული GSSAPI Negotiation Mechanism) მექანიზმის დანერგვაში, რომელიც გამოიყენება GSSAPI-ში კლიენტისა და სერვერის მიერ გამოყენებული დაცვის მეთოდების მოსალაპარაკებლად. GSSAPI გამოიყენება როგორც მაღალი დონის პროტოკოლი გასაღების უსაფრთხო გაცვლისთვის GSS-TSIG გაფართოების გამოყენებით, რომელიც გამოიყენება დინამიური DNS ზონის განახლებების ავთენტიფიკაციის პროცესში.

იმის გამო, რომ კრიტიკული ხარვეზები SPNEGO-ს ჩაშენებულ დანერგვაში ადრე იყო ნაპოვნი, ამ პროტოკოლის იმპლემენტაცია ამოღებულია BIND 9 კოდის ბაზიდან. მომხმარებლებისთვის, რომლებიც საჭიროებენ SPNEGO-ს მხარდაჭერას, რეკომენდებულია გამოიყენონ GSSAPI-ს მიერ მოწოდებული გარე იმპლემენტაცია. სისტემის ბიბლიოთეკა (მოწოდებული MIT Kerberos-სა და Heimdal Kerberos-ში).

BIND-ის ძველი ვერსიების მომხმარებლებს, როგორც პრობლემის დაბლოკვის გამოსავალს, შეუძლიათ გამორთონ GSS-TSIG პარამეტრებში (ოფციები tkey-gssapi-keytab და tkey-gssapi-credential) ან აღადგინონ BIND SPNEGO მექანიზმის მხარდაჭერის გარეშე (ვარიანტი "- -disable-isc-spnego" სკრიპტში "configure"). შეგიძლიათ აკონტროლოთ განახლებების ხელმისაწვდომობა დისტრიბუციებში შემდეგ გვერდებზე: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL და ALT Linux პაკეტები შექმნილია მშობლიური SPNEGO მხარდაჭერის გარეშე.

გარდა ამისა, კიდევ ორი დაუცველობა ფიქსირდება განსახილველ BIND განახლებებში:

CVE-2021-25215 — დასახელებული პროცესი ჩაიშალა DNAME ჩანაწერების დამუშავებისას (ქვედომენების ნაწილის გადამისამართება), რაც იწვევს დუბლიკატების დამატებას ANSWER განყოფილებაში. ავტორიტეტულ DNS სერვერებზე დაუცველობის გამოყენება მოითხოვს დამუშავებულ DNS ზონებში ცვლილებების შეტანას, ხოლო რეკურსიული სერვერებისთვის პრობლემური ჩანაწერის მიღება შესაძლებელია ავტორიტეტულ სერვერთან დაკავშირების შემდეგ.
CVE-2021-25214 - დასახელებული პროცესი იშლება სპეციალურად შემუშავებული შემომავალი IXFR მოთხოვნის დამუშავებისას (გამოიყენება DNS ზონებში ცვლილებების თანდათანობით გადასატანად DNS სერვერებს შორის). პრობლემა ეხება მხოლოდ სისტემებს, რომლებმაც დაუშვეს DNS ზონის გადარიცხვები თავდამსხმელის სერვერიდან (ჩვეულებრივ, ზონის გადარიცხვები გამოიყენება ძირითადი და სლავური სერვერების სინქრონიზაციისთვის და შერჩევით არის დაშვებული მხოლოდ სანდო სერვერებისთვის). როგორც უსაფრთხოების გამოსავალს, შეგიძლიათ გამორთოთ IXFR მხარდაჭერა პარამეტრის „request-ixfr no;“ გამოყენებით.

წყარო: opennet.ru

მიმდინარეობს BIND DNS სერვერის განახლება დისტანციური კოდის შესრულების დაუცველობის გამოსასწორებლად

ახალი კომენტარის დამატება

მიმდინარეობს BIND DNS სერვერის განახლება დისტანციური კოდის შესრულების დაუცველობის გამოსასწორებლად

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება