Ir publicēti koriģējošie atjauninājumi BIND DNS servera stabilajām zarām 9.11.31 un 9.16.15, kā arī eksperimentālajai filiālei 9.17.12, kas atrodas izstrādes stadijā. Jaunajos laidienos ir novērstas trīs ievainojamības, no kurām viena (CVE-2021-25216) izraisa bufera pārpildīšanu. 32 bitu sistēmās ievainojamību var izmantot, lai attālināti izpildītu uzbrucēja kodu, nosūtot īpaši izstrādātu GSS-TSIG pieprasījumu. 64 sistēmās problēma ir ierobežota ar nosauktā procesa avāriju.
Problēma parādās tikai tad, ja ir iespējots GSS-TSIG mehānisms, kas aktivizēts, izmantojot tkey-gssapi-keytab un tkey-gssapi-credential iestatījumus. Noklusējuma konfigurācijā GSS-TSIG ir atspējots un parasti tiek izmantots jauktā vidē, kur BIND tiek apvienots ar Active Directory domēna kontrolleriem, vai integrējot ar Samba.
Ievainojamību izraisa kļūda SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) mehānisma ieviešanā, ko izmanto GSSAPI, lai vienotos par klienta un servera izmantotajām aizsardzības metodēm. GSSAPI tiek izmantots kā augsta līmeņa protokols drošai atslēgu apmaiņai, izmantojot GSS-TSIG paplašinājumu, ko izmanto dinamisko DNS zonas atjauninājumu autentifikācijas procesā.
Tā kā iepriekš tika konstatētas kritiskas ievainojamības SPNEGO iebūvētajā implementācijā, šī protokola ieviešana ir izņemta no BIND 9 kodu bāzes. Lietotājiem, kuriem nepieciešams SPNEGO atbalsts, ieteicams izmantot GSSAPI nodrošināto ārējo implementāciju. sistēmas bibliotēka (nodrošina MIT Kerberos un Heimdal Kerberos).
Vecāku BIND versiju lietotāji kā risinājumu problēmas bloķēšanai var atspējot GSS-TSIG iestatījumos (opcijas tkey-gssapi-keytab un tkey-gssapi-credential) vai atjaunot BIND, neatbalstot SPNEGO mehānismu (opcija "- -disable-isc-spnego" skriptā "konfigurēt"). Izplatījumu atjauninājumu pieejamību varat izsekot šādās lapās: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL un ALT Linux pakotnes ir veidotas bez vietējā SPNEGO atbalsta.
Turklāt attiecīgajos BIND atjauninājumos ir novērstas vēl divas ievainojamības:
- CVE-2021-25215 — nosauktais process avarēja, apstrādājot DNAME ierakstus (daļas apakšdomēnu pāradresācijas apstrāde), kā rezultātā sadaļai ATBILDE tika pievienoti dublikāti. Lai izmantotu ievainojamību autoritatīvos DNS serveros, ir jāveic izmaiņas apstrādātajās DNS zonās, un rekursīvajiem serveriem problemātisko ierakstu var iegūt pēc sazināšanās ar autoritatīvo serveri.
- CVE-2021-25214 — nosauktais process avarē, apstrādājot īpaši izstrādātu ienākošo IXFR pieprasījumu (izmanto, lai pakāpeniski pārsūtītu izmaiņas DNS zonās starp DNS serveriem). Problēma skar tikai sistēmas, kas ir atļāvušas DNS zonu pārsūtīšanu no uzbrucēja servera (parasti zonu pārsūtīšana tiek izmantota, lai sinhronizētu galvenos un pakārtotos serverus, un tie ir selektīvi atļauti tikai uzticamiem serveriem). Kā drošības risinājumu varat atspējot IXFR atbalstu, izmantojot iestatījumu “request-ixfr no;”.
Avots: opennet.ru