원격 코드 실행 취약점을 해결하기 위해 BIND DNS 서버 업데이트

BIND DNS 서버 9.11.31 및 9.16.15의 안정적인 분기와 개발 중인 실험 분기 9.17.12에 대한 수정 업데이트가 게시되었습니다. 새 릴리스에서는 세 가지 취약점을 해결하며, 그 중 하나(CVE-2021-25216)는 버퍼 오버플로를 유발합니다. 32비트 시스템에서는 특수하게 조작된 GSS-TSIG 요청을 보내 공격자의 코드를 원격으로 실행하기 위해 취약점을 악용할 수 있습니다. 64개 시스템에서는 문제가 명명된 프로세스의 충돌로 제한됩니다.

문제는 GSS-TSIG 메커니즘이 활성화되고 tkey-gssapi-keytab 및 tkey-gssapi-credential 설정을 사용하여 활성화된 경우에만 나타납니다. GSS-TSIG는 기본 구성에서 비활성화되어 있으며 일반적으로 BIND가 Active Directory 도메인 컨트롤러와 결합되거나 Samba와 통합되는 혼합 환경에서 사용됩니다.

이 취약점은 클라이언트와 서버가 사용하는 보호 방법을 협상하기 위해 GSSAPI에서 사용되는 SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism) 메커니즘 구현 오류로 인해 발생합니다. GSSAPI는 동적 DNS 영역 업데이트를 인증하는 과정에서 사용되는 GSS-TSIG 확장을 사용하여 보안 키 교환을 위한 상위 수준 프로토콜로 사용됩니다.

SPNEGO 내장 구현의 치명적인 취약점이 이전에 발견되었기 때문에 이 프로토콜의 구현은 BIND 9 코드 베이스에서 제거되었습니다. SPNEGO 지원이 필요한 사용자의 경우 GSSAPI에서 제공하는 외부 구현을 사용하는 것이 좋습니다. 시스템 라이브러리(MIT Kerberos 및 Heimdal Kerberos에서 제공)

문제를 차단하기 위한 해결 방법으로 이전 버전의 BIND 사용자는 설정에서 GSS-TSIG를 비활성화하거나(옵션 tkey-gssapi-keytab 및 tkey-gssapi-credential) SPNEGO 메커니즘을 지원하지 않고 BIND를 다시 빌드할 수 있습니다(옵션 "- -disable-isc-spnego"(스크립트 "configure")). Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD 페이지에서 배포판의 업데이트 가용성을 추적할 수 있습니다. RHEL 및 ALT Linux 패키지는 기본 SPNEGO 지원 없이 빌드됩니다.

또한 문제의 BIND 업데이트에서는 두 가지 취약점이 더 수정되었습니다.

• CVE-2021-25215 — DNAME 레코드를 처리할 때(하위 도메인 일부의 리디렉션 처리) 명명된 프로세스가 중단되어 ANSWER 섹션에 중복 항목이 추가되었습니다. 권한 있는 DNS 서버의 취약점을 악용하려면 처리된 DNS 영역을 변경해야 하며, 재귀 서버의 경우 권한 있는 서버에 접속한 후 문제의 레코드를 얻을 수 있습니다.
• CVE-2021-25214 – 특별히 제작된 수신 IXFR 요청(DNS 서버 간 DNS 영역의 변경 사항을 증분 전송하는 데 사용됨)을 처리할 때 명명된 프로세스가 충돌합니다. 이 문제는 공격자 서버의 DNS 영역 전송을 허용한 시스템에만 영향을 미칩니다. 일반적으로 영역 전송은 마스터 서버와 슬레이브 서버를 동기화하는 데 사용되며 신뢰할 수 있는 서버에만 선택적으로 허용됩니다. 보안 해결 방법으로 "request-ixfr no;" 설정을 사용하여 IXFR 지원을 비활성화할 수 있습니다.

출처 : opennet.ru