Paskelbti korekciniai atnaujinimai BIND DNS serverio 9.11.31 ir 9.16.15 stabilioms šakoms, taip pat eksperimentinei šakai 9.17.12, kuri yra kuriama. Nauji leidimai pašalina tris pažeidžiamumus, iš kurių vienas (CVE-2021-25216) sukelia buferio perpildymą. 32 bitų sistemose pažeidžiamumas gali būti naudojamas nuotoliniu būdu vykdyti užpuoliko kodą, siunčiant specialiai sukurtą GSS-TSIG užklausą. 64 sistemose problema apsiriboja nurodyto proceso gedimu.
Problema atsiranda tik tada, kai įjungtas GSS-TSIG mechanizmas, suaktyvintas naudojant tkey-gssapi-keytab ir tkey-gssapi-credential nustatymus. GSS-TSIG yra išjungtas pagal numatytąją konfigūraciją ir paprastai naudojamas mišrioje aplinkoje, kur BIND derinamas su Active Directory domeno valdikliais arba integruojant su Samba.
Pažeidžiamumas atsirado dėl SPNEGO (paprasto ir apsaugoto GSSAPI derybų mechanizmo) mechanizmo, naudojamo GSSAPI derantis dėl kliento ir serverio naudojamų apsaugos metodų, diegimo klaida. GSSAPI naudojamas kaip aukšto lygio protokolas saugiam keitimuisi raktais naudojant GSS-TSIG plėtinį, naudojamą dinaminių DNS zonos atnaujinimų autentifikavimo procese.
Kadangi anksčiau buvo rasta kritinių įtaisytosios SPNEGO diegimo spragų, šio protokolo diegimas buvo pašalintas iš BIND 9 kodų bazės. Vartotojams, kuriems reikalingas SPNEGO palaikymas, rekomenduojama naudoti išorinį diegimą, kurį teikia GSSAPI sistemos biblioteka (pateikiama MIT Kerberos ir Heimdal Kerberos).
Senesnių BIND versijų vartotojai, norėdami blokuoti problemą, gali išjungti GSS-TSIG nustatymuose (parinktys tkey-gssapi-keytab ir tkey-gssapi-credential) arba atkurti BIND nepalaikydami SPNEGO mechanizmo (parinktis "- -disable-isc-spnego“ scenarijuje „configure“). Galite sekti platinimų atnaujinimų prieinamumą šiuose puslapiuose: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL ir ALT Linux paketai sukurti be vietinio SPNEGO palaikymo.
Be to, aptariamuose BIND naujinimuose ištaisytos dar dvi spragos:
- CVE-2021-25215 – pavadintas procesas užgeso apdorojant DNAME įrašus (dalies subdomenų peradresavimo apdorojimas), todėl skyrelyje ATSAKYMAS buvo pridėtos kopijos. Norint išnaudoti autoritetingų DNS serverių pažeidžiamumą, reikia pakeisti apdorotas DNS zonas, o rekursyviems serveriams probleminį įrašą galima gauti susisiekus su autoritetingu serveriu.
- CVE-2021-25214 – pavadintas procesas užstringa, kai apdorojama specialiai sukurta gaunama IXFR užklausa (naudojama laipsniškai perkelti DNS zonų pakeitimus tarp DNS serverių). Problema turi įtakos tik sistemoms, kurios leido DNS zonų perkėlimus iš užpuoliko serverio (paprastai zonos perkėlimai naudojami sinchronizuoti pagrindinius ir pavaldinius serverius ir pasirinktinai leidžiami tik patikimiems serveriams). Kaip saugumo sprendimą galite išjungti IXFR palaikymą naudodami nustatymą „request-ixfr no;“.
Šaltinis: opennet.ru