BIND DNS серверинин 9.11.31 жана 9.16.15 туруктуу бутактары, ошондой эле иштеп жаткан 9.17.12 эксперименталдык бутагы үчүн түзөтүүчү жаңыртуулар жарыяланды. Жаңы релиздер үч кемчиликти карайт, алардын бири (CVE-2021-25216) буфердин толуп кетишине себеп болот. 32 биттик системаларда алсыздык атайын иштелип чыккан GSS-TSIG сурамын жөнөтүү аркылуу чабуулчунун кодун алыстан аткаруу үчүн пайдаланылышы мүмкүн. 64 системада көйгөй аталган процесстин бузулушу менен чектелет.
Көйгөй GSS-TSIG механизми иштетилгенде, tkey-gssapi-keytab жана tkey-gssapi-каражат орнотуулары аркылуу иштетилгенде гана пайда болот. GSS-TSIG демейки конфигурацияда өчүрүлгөн жана адатта BIND Active Directory домен контроллерлору менен айкалышкан аралаш чөйрөлөрдө же Samba менен интеграцияланганда колдонулат.
Алсыздык GSSAPIде кардар жана сервер колдонгон коргоо ыкмаларын сүйлөшүү үчүн колдонулган SPNEGO (Жөнөкөй жана корголгон GSSAPI сүйлөшүү механизми) механизмин ишке ашыруудагы катадан келип чыгат. GSSAPI динамикалык DNS аймагынын жаңыртууларынын аутентификация процессинде колдонулган GSS-TSIG кеңейтүүсүн колдонуу менен коопсуз ачкыч алмашуу үчүн жогорку деңгээлдеги протокол катары колдонулат.
SPNEGOнун орнотулган ишке ашыруусунда олуттуу кемчиликтер мурда табылгандыктан, бул протоколдун ишке ашырылышы BIND 9 код базасынан алынып салынган.SPNEGO колдоосун талап кылган колдонуучулар үчүн GSSAPI тарабынан берилген тышкы ишке ашырууну колдонуу сунушталат. системалык китепкана (MIT Kerberos жана Heimdal Kerberos тарабынан берилген).
BINDдин эски версияларынын колдонуучулары көйгөйдү бөгөттөө үчүн, GSS-TSIGди жөндөөлөрдөн өчүрө алышат (tkey-gssapi-keytab параметрлери жана tkey-gssapi-каттоо маалыматы) же SPNEGO механизмин колдобостон BINDди кайра түзө алышат (параметр "- -disable-isc-spnego" скриптинде "конфигурациялоо"). Төмөнкү беттерде дистрибьюцияларда жаңыртуулардын болушуна көз салсаңыз болот: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL жана ALT Linux пакеттери жергиликтүү SPNEGO колдоосуз курулган.
Кошумчалай кетсек, BIND жаңыртууларында дагы эки кемчилик оңдолгон:
- CVE-2021-25215 — аталган процесс DNAME жазууларын иштетүүдө бузулуп (субдомендердин бир бөлүгүн кайра иштетүү), ЖООП берүү бөлүмүнө дубликаттарды кошууга алып келди. Авторитеттүү DNS серверлериндеги кемчиликти пайдалануу иштетилген DNS зоналарына өзгөртүүлөрдү киргизүүнү талап кылат, ал эми рекурсивдүү серверлер үчүн көйгөйлүү жазууну авторитеттүү серверге кайрылгандан кийин алууга болот.
- CVE-2021-25214 – Атайын иштелип чыккан IXFR өтүнүчүн иштеп жатканда аталган процесс бузулат (DNS серверлеринин ортосунда DNS зоналарында өзгөрүүлөрдү кадам сайын өткөрүп берүү үчүн колдонулат). Көйгөй DNS зоналарын чабуулчу серверден өткөрүүгө уруксат берген системаларга гана таасирин тийгизет (көбүнчө зоналык которуулар башкы жана кул серверлерди синхрондоштуруу үчүн колдонулат жана тандалган түрдө ишенимдүү серверлер үчүн гана уруксат берилет). Коопсуздукту чечүү жолу катары, сиз "суроо-ixfr no;" жөндөөсүн колдонуп, IXFR колдоосун өчүрө аласыз.
Source: opennet.ru