ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบเบฒเบ™เบญเบฑเบšเป€เบ”เบ”เป€เบŠเบตเบšเป€เบงเบต BIND DNS เป€เบžเบทเปˆเบญเปเบเป‰เป„เบ‚เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เบ—เบฒเบ‡เป„เบ

เบเบฒเบ™เบญเบฑเบšเป€เบ”เบ”เป€เบŠเบตเบšเป€เบงเบต BIND DNS เป€เบžเบทเปˆเบญเปเบเป‰เป„เบ‚เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เบ—เบฒเบ‡เป„เบ

เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เบเบฒเบ™เปเบเป‰เป„เบ‚เป„เบ”เป‰เบ–เบทเบเป€เบœเบตเบเปเบœเปˆเบชเปเบฒเบฅเบฑเบšเบชเบฒเบ‚เบฒเบ—เบตเปˆเบซเบกเบฑเป‰เบ™เบ„เบปเบ‡เบ‚เบญเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ BIND DNS 9.11.31 เปเบฅเบฐ 9.16.15, เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบชเบฒเบ‚เบฒเบ—เบปเบ”เบฅเบญเบ‡ 9.17.12, เป€เบŠเบดเปˆเบ‡เบขเบนเปˆเปƒเบ™เบเบฒเบ™เบžเบฑเบ”เบ—เบฐเบ™เบฒ. เบชเบฐเบšเบฑเบšเปƒเปเปˆเปเบเป‰เป„เบ‚เบชเบฒเบกเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆ, เปœเบถเปˆเบ‡เปƒเบ™เบ™เบฑเป‰เบ™ (CVE-2021-25216) เป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบเบตเบ”เบเบฒเบ™เบฅเบปเป‰เบ™เบšเบฑเบšเป€เบŸเบต. เปƒเบ™เบฅเบฐเบšเบปเบš 32-bit, เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เป€เบžเบทเปˆเบญเบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เบ‚เบญเบ‡เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบˆเบฒเบเป„เบฅเบเบฐเป„เบเป‚เบ”เบเบเบฒเบ™เบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เป GSS-TSIG เบ—เบตเปˆเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เบžเบดเป€เบชเบ”. เปƒเบ™ 64 เบฅเบฐเบšเบปเบš, เบšเบฑเบ™เบซเบฒเป„เบ”เป‰เบ–เบทเบเบˆเปเบฒเบเบฑเบ”เบžเบฝเบ‡เปเบ•เปˆ crash เบ‚เบญเบ‡เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ—เบตเปˆเบกเบตเบŠเบทเปˆ.

เบšเบฑเบ™เบซเบฒเบˆเบฐเบ›เบฒเบเบปเบ”เบžเบฝเบ‡เปเบ•เปˆเป€เบกเบทเปˆเบญเบเบปเบ™เป„เบ GSS-TSIG เบ–เบทเบเป€เบ›เบตเบ”เปƒเบŠเป‰, เป€เบ›เบตเบ”เปƒเบŠเป‰เป‚เบ”เบเปƒเบŠเป‰ tkey-gssapi-keytab เปเบฅเบฐ tkey-gssapi-credential settings. GSS-TSIG เบ–เบทเบเบ›เบดเบ”เปƒเบŠเป‰เบ‡เบฒเบ™เบขเบนเปˆเปƒเบ™เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™ เปเบฅเบฐเป‚เบ”เบเบ—เบปเปˆเบงเป„เบ›เปเบฅเป‰เบงเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เปƒเบ™เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเบ›เบฐเบชเบปเบกเบ—เบตเปˆ BIND เบ–เบทเบเบฅเบงเบกเป€เบ‚เบปเป‰เบฒเบเบฑเบš Active Directory domain controllers, เบซเบผเบทเปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเบ›เบฐเบชเบปเบกเบ›เบฐเบชเบฒเบ™เบเบฑเบš Samba.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปเบกเปˆเบ™เป€เบเบตเบ”เบกเบฒเบˆเบฒเบเบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ”เปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบเบปเบ™เป„เบเบเบฒเบ™เป€เบˆเบฅเบฐเบˆเบฒ SPNEGO (เบเบปเบ™เป„เบเบเบฒเบ™เป€เบˆเบฅเบฐเบˆเบฒ GSSAPI เปเบšเบšเบ‡เปˆเบฒเบเบ”เบฒเบ เปเบฅเบฐเบ–เบทเบเบ›เบปเบเบ›เป‰เบญเบ‡), เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เปƒเบ™ GSSAPI เป€เบžเบทเปˆเบญเป€เบˆเบฅเบฐเบˆเบฒเบงเบดเบ—เบตเบเบฒเบ™เบ›เป‰เบญเบ‡เบเบฑเบ™เบ—เบตเปˆเบฅเบนเบเบ„เป‰เบฒ เปเบฅเบฐเป€เบŠเบตเบšเป€เบงเบตเปƒเบŠเป‰. GSSAPI เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบ›เบฑเบ™เป‚เบ›เป‚เบ•เบ„เบญเบ™เบฅเบฐเบ”เบฑเบšเบชเบนเบ‡เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เปเบฅเบเบ›เปˆเบฝเบ™เบฅเบฐเบซเบฑเบ”เบฅเบฑเบšเบ—เบตเปˆเบ›เบญเบ”เป„เบžเป‚เบ”เบเปƒเบŠเป‰เบชเปˆเบงเบ™เบ‚เบฐเบซเบเบฒเบ GSS-TSIG เบ—เบตเปˆเปƒเบŠเป‰เปƒเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบเบฒเบ™เบญเบฑเบšเป€เบ”เบ”เป€เบ‚เบ” DNS เปเบšเบšเป€เบ„เบทเปˆเบญเบ™เป„เบซเบง.

เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบˆเบธเบ”เบญเปˆเบญเบ™เบ—เบตเปˆเบชเปเบฒเบ„เบฑเบ™เปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบเปเปˆเบชเป‰เบฒเบ‡เปƒเบ™ SPNEGO เป„เบ”เป‰เบ–เบทเบเบžเบปเบšเป€เบซเบฑเบ™เบเปˆเบญเบ™เบซเบ™เป‰เบฒเบ™เบตเป‰, เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เป‚เบ›เป‚เบ•เบ„เบญเบ™เบ™เบตเป‰เป„เบ”เป‰เบ–เบทเบเป‚เบเบเบเป‰เบฒเบเบญเบญเบเบˆเบฒเบเบ–เบฒเบ™เบฅเบฐเบซเบฑเบ” BIND 9. เบชเปเบฒเบฅเบฑเบšเบœเบนเป‰เปƒเบŠเป‰เบ—เบตเปˆเบ•เป‰เบญเบ‡เบเบฒเบ™เบเบฒเบ™เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™ SPNEGO, เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เปƒเบŠเป‰เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบžเบฒเบเบ™เบญเบเบ—เบตเปˆเบชเบฐเบซเบ™เบญเบ‡เปƒเบซเป‰เป‚เบ”เบ GSSAPI. เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบฅเบฐเบšเบปเบš (เบชเบฐเบซเบ™เบญเบ‡เปƒเบซเป‰เบขเบนเปˆเปƒเบ™ MIT Kerberos เปเบฅเบฐ Heimdal Kerberos).

เบœเบนเป‰เปƒเบŠเป‰ BIND เบฎเบธเปˆเบ™เป€เบเบปเปˆเบฒ, เป€เบ›เบฑเบ™เบเบฒเบ™เปเบเป‰เป„เบ‚เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเบฐเบเบฑเบ”เบšเบฑเบ™เบซเบฒ, เบชเบฒเบกเบฒเบ”เบ›เบดเบ”เบเบฒเบ™เปƒเบŠเป‰เบ‡เบฒเบ™ GSS-TSIG เปƒเบ™เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ (เบ—เบฒเบ‡เป€เบฅเบทเบญเบ tkey-gssapi-keytab เปเบฅเบฐ tkey-gssapi-credential) เบซเบผเบทเบชเป‰เบฒเบ‡ BIND เบ„เบทเบ™เปƒเปเปˆเป‚เบ”เบเบšเปเปˆเบกเบตเบเบฒเบ™เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™เบเบปเบ™เป„เบ SPNEGO (เบ—เบฒเบ‡เป€เบฅเบทเบญเบ "- -disable-isc-spnego" เปƒเบ™ script "configure"). เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ•เบดเบ”เบ•เบฒเบกเบ„เบงเบฒเบกเบžเป‰เบญเบกเบ‚เบญเบ‡เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เปƒเบ™เบเบฒเบ™เปเบˆเบเบขเบฒเบเบขเบนเปˆเปƒเบ™เบซเบ™เป‰เบฒเบ•เปเปˆเป„เบ›เบ™เบตเป‰: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. เปเบžเบฑเบเป€เบเบฑเบ” RHEL เปเบฅเบฐ ALT Linux เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเบšเปเปˆเบกเบตเบเบฒเบ™เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™ SPNEGO เบžเบทเป‰เบ™เป€เบกเบทเบญเบ‡.

เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบชเบญเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป€เบžเบตเปˆเบกเป€เบ•เบตเบกเป„เบ”เป‰เบ–เบทเบเปเบเป‰เป„เบ‚เปƒเบ™เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡ BIND เปƒเบ™เบ„เปเบฒเบ–เบฒเบก:

  • CVE-2021-25215 โ€” เบ‚เบฐโ€‹เบšเบงเบ™โ€‹เบเบฒเบ™โ€‹เบ—เบตเปˆโ€‹เบกเบตโ€‹เบŠเบทเปˆ crashed เปƒเบ™โ€‹เป€เบงโ€‹เบฅเบฒโ€‹เบ—เบตเปˆโ€‹เบเบฒเบ™โ€‹เบ›เบฐโ€‹เบกเบงเบ™โ€‹เบœเบปเบ™ DNAME records (redirect processing of part of subdomains), เบ™เปเบฒโ€‹เป„เบ›โ€‹เบชเบนเปˆโ€‹เบเบฒเบ™โ€‹เป€เบžเบตเปˆเบกโ€‹เบ‚เบญเบ‡โ€‹เบŠโ€‹เป‰โ€‹เปเบฒโ€‹เบเบฑเบ™โ€‹เบเบฑเบšโ€‹เบžเบฒเบโ€‹เบชเปˆเบงเบ™ ANSWER. เบเบฒเบ™เบ‚เบธเบ”เบ„เบปเป‰เบ™เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เป€เบŠเบตเบšเป€เบงเบต DNS เบ—เบตเปˆเบกเบตเบญเบณเบ™เบฒเบ”เบฎเบฝเบเบฎเป‰เบญเบ‡เปƒเบซเป‰เบกเบตเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เป€เบ‚เบ” DNS เบ—เบตเปˆเบ›เบฐเบกเบงเบ™เบœเบปเบ™เปเบฅเป‰เบง, เปเบฅเบฐเบชเบณเบฅเบฑเบšเป€เบŠเบตเบšเป€เบงเบตเบ—เบตเปˆเป€เบฎเบฑเบ”เบŠเปเป‰เบฒเบ„เบทเบ™, เบšเบฑเบ™เบ—เบถเบเบ—เบตเปˆเบกเบตเบšเบฑเบ™เบซเบฒเบชเบฒเบกเบฒเบ”เป„เบ”เป‰เบฎเบฑเบšเบซเบผเบฑเบ‡เบˆเบฒเบเบ•เบดเบ”เบ•เปเปˆเบเบฑเบšเป€เบŠเบตเบšเป€เบงเบต authoritative.
  • CVE-2021-25214 โ€“ เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ—เบตเปˆเบกเบตเบŠเบทเปˆเป€เบเบตเบ”เบ‚เบฑเบ”เบ‚เป‰เบญเบ‡เปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เป IXFR เบ‚เบฒเป€เบ‚เบปเป‰เบฒเบ—เบตเปˆเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐ (เปƒเบŠเป‰เป€เบžเบทเปˆเบญเป€เบžเบตเปˆเบกเบ—เบฐเบงเบตเบเบฒเบ™เบ›เปˆเบฝเบ™เป€เบ‚เบ” DNS เบฅเบฐเบซเบงเปˆเบฒเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ DNS). เบšเบฑเบ™เบซเบฒเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบกเบตเบœเบปเบ™เบเบฐเบ—เบปเบšเบžเบฝเบ‡เปเบ•เปˆเบฅเบฐเบšเบปเบšเบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป‚เบญเบ™เป€เบ‚เบ” DNS เบˆเบฒเบเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบเบฒเบ™เป‚เบˆเบกเบ•เบต (เบ›เบปเบเบเบฐเบ•เบดเปเบฅเป‰เบงเบเบฒเบ™เป‚เบญเบ™เป€เบ‚เบ”เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญ synchronize เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ‚เบญเบ‡เปเบกเปˆเบšเบปเบ”เปเบฅเบฐ slave เปเบฅเบฐเบ–เบทเบเป€เบฅเบทเบญเบเบžเบฝเบ‡เปเบ•เปˆเบชเปเบฒเบฅเบฑเบšเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ—เบตเปˆเป€เบŠเบทเปˆเบญเบ–เบทเป„เบ”เป‰). เปƒเบ™เบ–เบฒเบ™เบฐเป€เบ›เบฑเบ™เบเบฒเบ™เปเบเป‰เป„เบ‚เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ›เบดเบ”เบเบฒเบ™เบฎเบญเบ‡เบฎเบฑเบš IXFR เป‚เบ”เบเปƒเบŠเป‰เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ "request-ixfr no;" .

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™