BIND DNS ಸರ್ವರ್ 9.11.31 ಮತ್ತು 9.16.15 ನ ಸ್ಥಿರ ಶಾಖೆಗಳಿಗೆ ಸರಿಪಡಿಸುವ ನವೀಕರಣಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಅಭಿವೃದ್ಧಿಯಲ್ಲಿರುವ ಪ್ರಾಯೋಗಿಕ ಶಾಖೆ 9.17.12. ಹೊಸ ಬಿಡುಗಡೆಗಳು ಮೂರು ದೋಷಗಳನ್ನು ಪರಿಹರಿಸುತ್ತವೆ, ಅವುಗಳಲ್ಲಿ ಒಂದು (CVE-2021-25216) ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗುತ್ತದೆ. 32-ಬಿಟ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ GSS-TSIG ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರ ಕೋಡ್ ಅನ್ನು ದೂರದಿಂದಲೇ ಕಾರ್ಯಗತಗೊಳಿಸಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. 64 ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಸಮಸ್ಯೆಯು ಹೆಸರಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಯ ಕುಸಿತಕ್ಕೆ ಸೀಮಿತವಾಗಿದೆ.
GSS-TSIG ಕಾರ್ಯವಿಧಾನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ, tkey-gssapi-keytab ಮತ್ತು tkey-gssapi-ರುಜುವಾತು ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮಾತ್ರ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. GSS-TSIG ಅನ್ನು ಡಿಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು BIND ಅನ್ನು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಡೊಮೇನ್ ನಿಯಂತ್ರಕಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಮಿಶ್ರ ಪರಿಸರದಲ್ಲಿ ಅಥವಾ ಸಾಂಬಾದೊಂದಿಗೆ ಸಂಯೋಜಿಸುವಾಗ ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಬಳಸುವ ಸಂರಕ್ಷಣಾ ವಿಧಾನಗಳನ್ನು ಸಮಾಲೋಚಿಸಲು GSSAPI ನಲ್ಲಿ ಬಳಸಲಾಗುವ SPNEGO (ಸರಳ ಮತ್ತು ಸಂರಕ್ಷಿತ GSSAPI ನೆಗೋಷಿಯೇಷನ್ ಮೆಕ್ಯಾನಿಸಮ್) ಕಾರ್ಯವಿಧಾನದ ಅನುಷ್ಠಾನದಲ್ಲಿನ ದೋಷದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ಡೈನಾಮಿಕ್ DNS ವಲಯ ನವೀಕರಣಗಳನ್ನು ದೃಢೀಕರಿಸುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಬಳಸಲಾಗುವ GSS-TSIG ವಿಸ್ತರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸುರಕ್ಷಿತ ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ GSSAPI ಅನ್ನು ಉನ್ನತ ಮಟ್ಟದ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
SPNEGO ನ ಅಂತರ್ನಿರ್ಮಿತ ಅನುಷ್ಠಾನದಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದೋಷಗಳು ಈ ಹಿಂದೆ ಕಂಡುಬಂದಿದ್ದರಿಂದ, ಈ ಪ್ರೋಟೋಕಾಲ್ನ ಅನುಷ್ಠಾನವನ್ನು BIND 9 ಕೋಡ್ ಬೇಸ್ನಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ. SPNEGO ಬೆಂಬಲದ ಅಗತ್ಯವಿರುವ ಬಳಕೆದಾರರಿಗೆ, GSSAPI ಒದಗಿಸಿದ ಬಾಹ್ಯ ಅನುಷ್ಠಾನವನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಸಿಸ್ಟಮ್ ಲೈಬ್ರರಿ (MIT Kerberos ಮತ್ತು Heimdal Kerberos ನಲ್ಲಿ ಒದಗಿಸಲಾಗಿದೆ).
BIND ನ ಹಳೆಯ ಆವೃತ್ತಿಗಳ ಬಳಕೆದಾರರು, ಸಮಸ್ಯೆಯನ್ನು ತಡೆಯುವ ಪರಿಹಾರವಾಗಿ, GSS-TSIG ಅನ್ನು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು (ಆಯ್ಕೆಗಳು tkey-gssapi-keytab ಮತ್ತು tkey-gssapi-credential) ಅಥವಾ SPNEGO ಕಾರ್ಯವಿಧಾನಕ್ಕೆ ಬೆಂಬಲವಿಲ್ಲದೆ BIND ಅನ್ನು ಮರುನಿರ್ಮಾಣ ಮಾಡಬಹುದು (ಆಯ್ಕೆ "- -disable-isc-spnego" ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ "ಕಾನ್ಫಿಗರ್"). ಕೆಳಗಿನ ಪುಟಗಳಲ್ಲಿ ವಿತರಣೆಗಳಲ್ಲಿ ನವೀಕರಣಗಳ ಲಭ್ಯತೆಯನ್ನು ನೀವು ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL ಮತ್ತು ALT Linux ಪ್ಯಾಕೇಜುಗಳನ್ನು ಸ್ಥಳೀಯ SPNEGO ಬೆಂಬಲವಿಲ್ಲದೆ ನಿರ್ಮಿಸಲಾಗಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ BIND ನವೀಕರಣಗಳಲ್ಲಿ ಇನ್ನೂ ಎರಡು ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ:
- CVE-2021-25215 — DNAME ದಾಖಲೆಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಹೆಸರಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಯು ಕ್ರ್ಯಾಶ್ ಆಗಿದೆ (ಉಪಡೊಮೇನ್ಗಳ ಭಾಗದ ಮರುನಿರ್ದೇಶನ ಪ್ರಕ್ರಿಯೆ), ಉತ್ತರ ವಿಭಾಗಕ್ಕೆ ನಕಲುಗಳ ಸೇರ್ಪಡೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಅಧಿಕೃತ DNS ಸರ್ವರ್ಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಸಂಸ್ಕರಿಸಿದ DNS ವಲಯಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡುವ ಅಗತ್ಯವಿದೆ ಮತ್ತು ಪುನರಾವರ್ತಿತ ಸರ್ವರ್ಗಳಿಗೆ, ಅಧಿಕೃತ ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಿದ ನಂತರ ಸಮಸ್ಯಾತ್ಮಕ ದಾಖಲೆಯನ್ನು ಪಡೆಯಬಹುದು.
- CVE-2021-25214 - ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಒಳಬರುವ IXFR ವಿನಂತಿಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಹೆಸರಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಯು ಕ್ರ್ಯಾಶ್ ಆಗುತ್ತದೆ (DNS ಸರ್ವರ್ಗಳ ನಡುವೆ DNS ವಲಯಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಹೆಚ್ಚುತ್ತಿರುವಂತೆ ವರ್ಗಾಯಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ). ದಾಳಿಕೋರನ ಸರ್ವರ್ನಿಂದ DNS ವಲಯ ವರ್ಗಾವಣೆಯನ್ನು ಅನುಮತಿಸಿದ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ ಮಾತ್ರ ಸಮಸ್ಯೆಯು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಸಾಮಾನ್ಯವಾಗಿ ವಲಯ ವರ್ಗಾವಣೆಗಳನ್ನು ಮಾಸ್ಟರ್ ಮತ್ತು ಸ್ಲೇವ್ ಸರ್ವರ್ಗಳನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ಸರ್ವರ್ಗಳಿಗೆ ಮಾತ್ರ ಆಯ್ಕೆಮಾಡಲಾಗುತ್ತದೆ). ಭದ್ರತಾ ಪರಿಹಾರವಾಗಿ, "request-ixfr no;" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು IXFR ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು.
ಮೂಲ: opennet.ru