BIND DNS ์๋ฒ 9.11.31 ๋ฐ 9.16.15์ ์์ ์ ์ธ ๋ถ๊ธฐ์ ๊ฐ๋ฐ ์ค์ธ ์คํ ๋ถ๊ธฐ 9.17.12์ ๋ํ ์์ ์ ๋ฐ์ดํธ๊ฐ ๊ฒ์๋์์ต๋๋ค. ์ ๋ฆด๋ฆฌ์ค์์๋ ์ธ ๊ฐ์ง ์ทจ์ฝ์ ์ ํด๊ฒฐํ๋ฉฐ, ๊ทธ ์ค ํ๋(CVE-2021-25216)๋ ๋ฒํผ ์ค๋ฒํ๋ก๋ฅผ ์ ๋ฐํฉ๋๋ค. 32๋นํธ ์์คํ ์์๋ ํน์ํ๊ฒ ์กฐ์๋ GSS-TSIG ์์ฒญ์ ๋ณด๋ด ๊ณต๊ฒฉ์์ ์ฝ๋๋ฅผ ์๊ฒฉ์ผ๋ก ์คํํ๊ธฐ ์ํด ์ทจ์ฝ์ ์ ์ ์ฉํ ์ ์์ต๋๋ค. 64๊ฐ ์์คํ ์์๋ ๋ฌธ์ ๊ฐ ๋ช ๋ช ๋ ํ๋ก์ธ์ค์ ์ถฉ๋๋ก ์ ํ๋ฉ๋๋ค.
๋ฌธ์ ๋ GSS-TSIG ๋ฉ์ปค๋์ฆ์ด ํ์ฑํ๋๊ณ tkey-gssapi-keytab ๋ฐ tkey-gssapi-credential ์ค์ ์ ์ฌ์ฉํ์ฌ ํ์ฑํ๋ ๊ฒฝ์ฐ์๋ง ๋ํ๋ฉ๋๋ค. GSS-TSIG๋ ๊ธฐ๋ณธ ๊ตฌ์ฑ์์ ๋นํ์ฑํ๋์ด ์์ผ๋ฉฐ ์ผ๋ฐ์ ์ผ๋ก BIND๊ฐ Active Directory ๋๋ฉ์ธ ์ปจํธ๋กค๋ฌ์ ๊ฒฐํฉ๋๊ฑฐ๋ Samba์ ํตํฉ๋๋ ํผํฉ ํ๊ฒฝ์์ ์ฌ์ฉ๋ฉ๋๋ค.
์ด ์ทจ์ฝ์ ์ ํด๋ผ์ด์ธํธ์ ์๋ฒ๊ฐ ์ฌ์ฉํ๋ ๋ณดํธ ๋ฐฉ๋ฒ์ ํ์ํ๊ธฐ ์ํด GSSAPI์์ ์ฌ์ฉ๋๋ SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism) ๋ฉ์ปค๋์ฆ ๊ตฌํ ์ค๋ฅ๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. GSSAPI๋ ๋์ DNS ์์ญ ์ ๋ฐ์ดํธ๋ฅผ ์ธ์ฆํ๋ ๊ณผ์ ์์ ์ฌ์ฉ๋๋ GSS-TSIG ํ์ฅ์ ์ฌ์ฉํ์ฌ ๋ณด์ ํค ๊ตํ์ ์ํ ์์ ์์ค ํ๋กํ ์ฝ๋ก ์ฌ์ฉ๋ฉ๋๋ค.
SPNEGO ๋ด์ฅ ๊ตฌํ์ ์น๋ช ์ ์ธ ์ทจ์ฝ์ ์ด ์ด์ ์ ๋ฐ๊ฒฌ๋์๊ธฐ ๋๋ฌธ์ ์ด ํ๋กํ ์ฝ์ ๊ตฌํ์ BIND 9 ์ฝ๋ ๋ฒ ์ด์ค์์ ์ ๊ฑฐ๋์์ต๋๋ค. SPNEGO ์ง์์ด ํ์ํ ์ฌ์ฉ์์ ๊ฒฝ์ฐ GSSAPI์์ ์ ๊ณตํ๋ ์ธ๋ถ ๊ตฌํ์ ์ฌ์ฉํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ์์คํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ(MIT Kerberos ๋ฐ Heimdal Kerberos์์ ์ ๊ณต)
๋ฌธ์ ๋ฅผ ์ฐจ๋จํ๊ธฐ ์ํ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก ์ด์ ๋ฒ์ ์ BIND ์ฌ์ฉ์๋ ์ค์ ์์ GSS-TSIG๋ฅผ ๋นํ์ฑํํ๊ฑฐ๋(์ต์ tkey-gssapi-keytab ๋ฐ tkey-gssapi-credential) SPNEGO ๋ฉ์ปค๋์ฆ์ ์ง์ํ์ง ์๊ณ BIND๋ฅผ ๋ค์ ๋น๋ํ ์ ์์ต๋๋ค(์ต์ "- -disable-isc-spnego"(์คํฌ๋ฆฝํธ "configure")). Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD ํ์ด์ง์์ ๋ฐฐํฌํ์ ์ ๋ฐ์ดํธ ๊ฐ์ฉ์ฑ์ ์ถ์ ํ ์ ์์ต๋๋ค. RHEL ๋ฐ ALT Linux ํจํค์ง๋ ๊ธฐ๋ณธ SPNEGO ์ง์ ์์ด ๋น๋๋ฉ๋๋ค.
๋ํ ๋ฌธ์ ์ BIND ์ ๋ฐ์ดํธ์์๋ ๋ ๊ฐ์ง ์ทจ์ฝ์ ์ด ๋ ์์ ๋์์ต๋๋ค.
- CVE-2021-25215 โ DNAME ๋ ์ฝ๋๋ฅผ ์ฒ๋ฆฌํ ๋(ํ์ ๋๋ฉ์ธ ์ผ๋ถ์ ๋ฆฌ๋๋ ์ ์ฒ๋ฆฌ) ๋ช ๋ช ๋ ํ๋ก์ธ์ค๊ฐ ์ค๋จ๋์ด ANSWER ์น์ ์ ์ค๋ณต ํญ๋ชฉ์ด ์ถ๊ฐ๋์์ต๋๋ค. ๊ถํ ์๋ DNS ์๋ฒ์ ์ทจ์ฝ์ ์ ์ ์ฉํ๋ ค๋ฉด ์ฒ๋ฆฌ๋ DNS ์์ญ์ ๋ณ๊ฒฝํด์ผ ํ๋ฉฐ, ์ฌ๊ท ์๋ฒ์ ๊ฒฝ์ฐ ๊ถํ ์๋ ์๋ฒ์ ์ ์ํ ํ ๋ฌธ์ ์ ๋ ์ฝ๋๋ฅผ ์ป์ ์ ์์ต๋๋ค.
- CVE-2021-25214 โ ํน๋ณํ ์ ์๋ ์์ IXFR ์์ฒญ(DNS ์๋ฒ ๊ฐ DNS ์์ญ์ ๋ณ๊ฒฝ ์ฌํญ์ ์ฆ๋ถ ์ ์กํ๋ ๋ฐ ์ฌ์ฉ๋จ)์ ์ฒ๋ฆฌํ ๋ ๋ช ๋ช ๋ ํ๋ก์ธ์ค๊ฐ ์ถฉ๋ํฉ๋๋ค. ์ด ๋ฌธ์ ๋ ๊ณต๊ฒฉ์ ์๋ฒ์ DNS ์์ญ ์ ์ก์ ํ์ฉํ ์์คํ ์๋ง ์ํฅ์ ๋ฏธ์นฉ๋๋ค. ์ผ๋ฐ์ ์ผ๋ก ์์ญ ์ ์ก์ ๋ง์คํฐ ์๋ฒ์ ์ฌ๋ ์ด๋ธ ์๋ฒ๋ฅผ ๋๊ธฐํํ๋ ๋ฐ ์ฌ์ฉ๋๋ฉฐ ์ ๋ขฐํ ์ ์๋ ์๋ฒ์๋ง ์ ํ์ ์ผ๋ก ํ์ฉ๋ฉ๋๋ค. ๋ณด์ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก "request-ixfr no;" ์ค์ ์ ์ฌ์ฉํ์ฌ IXFR ์ง์์ ๋นํ์ฑํํ ์ ์์ต๋๋ค.
์ถ์ฒ : opennet.ru