BIND DNS серверінің 9.11.31 және 9.16.15 тұрақты тармақтары, сондай-ақ әзірлену үстіндегі 9.17.12 эксперименттік тармағы үшін түзетуші жаңартулар жарияланды. Жаңа шығарылымдар үш осалдықты қарастырады, олардың біреуі (CVE-2021-25216) буфердің толып кетуін тудырады. 32 биттік жүйелерде осалдықты арнайы жасалған GSS-TSIG сұрауын жіберу арқылы шабуылдаушы кодын қашықтан орындау үшін пайдалануға болады. 64 жүйеде мәселе аталған процестің бұзылуымен шектеледі.
Мәселе tkey-gssapi-keytab және tkey-gssapi-тіркелгі деректері параметрлері арқылы белсендірілген GSS-TSIG механизмі қосылғанда ғана пайда болады. GSS-TSIG әдепкі конфигурацияда өшірілген және әдетте BIND Active Directory домен контроллерімен біріктірілген аралас орталарда немесе Samba бағдарламасымен біріктіру кезінде пайдаланылады.
Осалдық GSSAPI-де клиент пен сервер пайдаланатын қорғау әдістерін келіссөздер жүргізу үшін қолданылатын SPNEGO (қарапайым және қорғалған GSSAPI келіссөз механизмі) механизмін жүзеге асырудағы қатеден туындайды. GSSAPI динамикалық DNS аймағының жаңартуларын аутентификациялау процесінде пайдаланылатын GSS-TSIG кеңейтімін пайдаланып қауіпсіз кілт алмасу үшін жоғары деңгейлі протокол ретінде пайдаланылады.
SPNEGO кірістірілген іске асыруда маңызды осалдықтар бұрын табылғандықтан, бұл хаттаманы іске асыру BIND 9 код базасынан жойылды.SPNEGO қолдауын қажет ететін пайдаланушылар үшін GSSAPI қамтамасыз ететін сыртқы енгізуді пайдалану ұсынылады. жүйелік кітапхана (MIT Kerberos және Heimdal Kerberos жүйесінде берілген).
BIND ескі нұсқаларының пайдаланушылары мәселені бұғаттаудың уақытша шешімі ретінде параметрлерде GSS-TSIG өшіре алады (tkey-gssapi-keytab және tkey-gssapi-тіркелгі деректері опциялары) немесе SPNEGO механизмін қолдаусыз BIND қалпына келтіре алады (опция "- -disable-isc-spnego» «конфигурациялау» сценарийінде). Келесі беттерде дистрибуциялардағы жаңартулардың қолжетімділігін бақылауға болады: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL және ALT Linux бумалары жергілікті SPNEGO қолдауынсыз жасалған.
Сонымен қатар, BIND жаңартуларында тағы екі осалдық түзетілді:
- CVE-2021-25215 — аталған процесс DNAME жазбаларын өңдеу кезінде бұзылды (қосалқы домендердің бір бөлігін қайта өңдеу), ЖАУАП бөліміне көшірмелерді қосуға әкелді. Беделді DNS серверлеріндегі осалдықты пайдалану өңделген DNS аймақтарына өзгертулер енгізуді талап етеді, ал рекурсивті серверлер үшін проблемалық жазбаны беделді серверге хабарласқаннан кейін алуға болады.
- CVE-2021-25214 – Атаулы процесс арнайы жасалған кіріс IXFR сұрауын өңдеу кезінде бұзылады (DNS серверлері арасында DNS аймақтарындағы өзгерістерді қадамдық түрде тасымалдау үшін пайдаланылады). Мәселе шабуылдаушы серверінен DNS аймағын тасымалдауға рұқсат берген жүйелерге ғана әсер етеді (әдетте аймақтық тасымалдаулар басты және бағынышты серверлерді синхрондау үшін пайдаланылады және тек сенімді серверлер үшін таңдаулы түрде рұқсат етіледі). Қауіпсіздікті шешу ретінде «сұраныс-ixfr no;» параметрін пайдаланып IXFR қолдауын өшіруге болады.
Ақпарат көзі: opennet.ru