Korrekturaktualiséierunge goufen fir déi stabile Filialen vum BIND DNS Server 9.11.31 an 9.16.15 publizéiert, souwéi déi experimentell Branche 9.17.12, déi an der Entwécklung ass. Déi nei Verëffentlechungen adresséieren dräi Schwachstelle, vun deenen eng (CVE-2021-25216) e Pufferiwwerfluss verursaacht. Op 32-Bit Systemer kann d'Schwachheet ausgenotzt ginn fir de Code vun engem Ugräifer op afstand auszeféieren andeems Dir eng speziell erstallt GSS-TSIG Ufro schéckt. Op 64 Systemer ass de Problem limitéiert op de Crash vum genannte Prozess.
De Problem erschéngt nëmme wann de GSS-TSIG Mechanismus aktivéiert ass, aktivéiert mat den tkey-gssapi-keytab an tkey-gssapi-Umeldungsinstellungen. GSS-TSIG ass an der Standardkonfiguratioun deaktivéiert a gëtt typesch a gemëschten Ëmfeld benotzt, wou BIND mat Active Directory Domain Controller kombinéiert gëtt, oder wann se mat Samba integréiert ginn.
D'Schwachheet gëtt duerch e Feeler bei der Ëmsetzung vum SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) Mechanismus verursaacht, deen am GSSAPI benotzt gëtt fir d'Schutzmethoden ze verhandelen, déi vum Client a Server benotzt ginn. GSSAPI gëtt als High-Level Protokoll fir sécher Schlësselaustausch benotzt mat der GSS-TSIG Extensioun, déi am Prozess vun der Authentifikatioun vun dynamesche DNS Zoneupdates benotzt gëtt.
Well kritesch Schwächen an der agebauter Implementatioun vu SPNEGO virdru fonnt goufen, ass d'Ëmsetzung vun dësem Protokoll aus der BIND 9 Code Basis geläscht Fir Benotzer déi SPNEGO Ënnerstëtzung erfuerderen, ass et recommandéiert eng extern Implementatioun ze benotzen déi vum GSSAPI geliwwert gëtt Systembibliothéik (an MIT Kerberos an Heimdal Kerberos geliwwert).
D'Benotzer vun eelere Versioune vu BIND, als Léisung fir de Problem ze blockéieren, kënnen GSS-TSIG an den Astellungen auszeschalten (Optiounen tkey-gssapi-keytab an tkey-gssapi-credential) oder BIND nei opbauen ouni Ënnerstëtzung fir de SPNEGO Mechanismus (Optioun "- -disable-isc-spnego" am Skript "configuréieren"). Dir kënnt d'Disponibilitéit vun Aktualiséierungen an Distributiounen op de folgende Säiten verfollegen: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL an ALT Linux Packagen ginn ouni nativ SPNEGO Support gebaut.
Zousätzlech ginn zwou méi Schwachstelle fixéiert an de BIND Updates a Fro:
- CVE-2021-25215 - de genannte Prozess ass erofgefall beim Veraarbechtung vun DNAME records (Redirect Veraarbechtung vun Deel vun Ënnerdomainen), wat zu der Zousatz vun Duplikaten an d'ANSWER Sektioun féiert. D'Ausbeutung vun der Schwachstelle op autoritären DNS-Server erfuerdert Ännerunge vun de veraarbechten DNS-Zonen, a fir rekursive Serveren kann de problematesche Rekord kritt ginn nodeems Dir den autoritäre Server kontaktéiert.
- CVE-2021-25214 - De genannte Prozess crasht wann Dir eng speziell erstallt erakommen IXFR Ufro veraarbecht (benotzt fir inkrementell Ännerungen an DNS Zonen tëscht DNS Serveren ze transferéieren). De Problem beaflosst nëmmen Systemer déi DNS Zone Transfere vum Server vum Ugräifer erlaabt hunn (normalerweis Zone Transfere gi benotzt fir Master- a Sklave-Server ze synchroniséieren a si selektiv nëmme fir vertrauenswierdeg Serveren erlaabt). Als Sécherheetsléisung kënnt Dir IXFR-Ënnerstëtzung auszeschalten mat der "Request-ixfr no;" Astellung.
Source: opennet.ru