Navoaka ny fanavaozana fanitsiana ho an'ny sampana stable amin'ny server BIND DNS 9.11.31 sy 9.16.15, ary koa ny sampana andrana 9.17.12, izay eo amin'ny fampandrosoana. Ny famoahana vaovao dia miresaka momba ny vulnerabilities telo, ny iray amin'izy ireo (CVE-2021-25216) dia miteraka fihoaram-pefy. Amin'ny rafitra 32-bit, ny vulnerability dia azo trandrahana amin'ny fanatanterahana ny kaody mpanafika amin'ny alàlan'ny fandefasana fangatahana GSS-TSIG novolavolaina manokana. Ao amin'ny rafitra 64 ny olana dia voafetra amin'ny fianjeran'ny dingana nomena anarana.
Mipoitra ihany ny olana rehefa alefa ny mekanika GSS-TSIG, avitrika amin'ny fampiasana ny tkey-gssapi-keytab sy ny tkey-gssapi-credential settings. Ny GSS-TSIG dia kilemaina ao amin'ny config default ary matetika ampiasaina amin'ny tontolo mifangaro izay i BIND dia mitambatra amin'ny mpitantana ny sehatra Active Directory, na rehefa mitambatra amin'ny Samba.
Ny fahalemena dia vokatry ny fahadisoana teo amin'ny fampiharana ny rafitra SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), izay ampiasaina ao amin'ny GSSAPI hifampiraharahana amin'ireo protocole ampiasain'ny mpanjifa ary mpizara Fomba fiarovana. Ny GSSAPI dia ampiasaina ho toy ny protocole avo lenta ho an'ny fifanakalozana lakile azo antoka amin'ny alàlan'ny fanitarana GSS-TSIG, izay ampiasaina amin'ny fanamarinana ny maha-azo itokiana ny fanavaozana ny faritra DNS mavitrika.
Satria efa hita teo aloha ny vulnerabilities manan-danja amin'ny fametrahana SPNEGO, ny fampiharana ity protocol ity dia nesorina tao amin'ny code base BIND 9 Ho an'ireo mpampiasa izay mila fanohanana SPNEGO, dia asaina mampiasa fampiharana ivelany nomen'ny GSSAPI famakiam-boky rafitra (nomena ao amin'ny MIT Kerberos sy Heimdal Kerberos).
Ho vahaolana amin'izany, ireo mpampiasa ny dikan-teny BIND taloha dia afaka manafoana ny GSS-TSIG ao amin'ny fikirana (tkey-gssapi-keytab sy tkey-gssapi-credential parameters) na mamerina manangona ny BIND tsy misy fanohanana SPNEGO (ny safidy "--disable-isc-spnego" ao amin'ny script "configure"). Azonao atao ny manara-maso ny fanavaozana ho an'ny fizaranao amin'ireto pejy manaraka ireto: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Fonosana RHEL sy ALT Linux dia natambatra tsy misy fanohanana SPNEGO namboarina.
Fanampin'izay, vulnerability roa hafa no raikitra ao amin'ny fanavaozana BIND resahina:
- CVE-2021-25215 — Nianjera ilay dingana nomena anarana nandritra ny fikirakirana ny firaketana DNAME (fanodinana ny fikirakirana ny subdomains sasany), ka nahatonga ny dika mitovy nampidirina tao amin'ny fizarana ANSWER. Ny fampiasana ny fahalemena amin'ny mpizara DNS manana fahefana dia mitaky fanovana ny faritra DNS izay karakaraina, ary ho an'ireo miverimberina. lohamilina Azo jerena amin'ny fifandraisana amin'ny mpizara manana fahefana ny rakitra misy olana.
- CVE-2021-25214 - Ny dingana voatonona dia mianjera rehefa manamboatra fangatahana IXFR tonga noforonina manokana (ampiasaina amin'ny famindrana tsikelikely ny fanovana ao amin'ny faritra DNS eo anelanelan'ny mpizara DNS). Ny olana dia tsy misy fiantraikany afa-tsy amin'ny rafitra izay mamela ny famindrana faritra DNS avy amin'ny mpizara mpanafika (matetika ny famindrana faritra dia ampiasaina mba hampifanaraka ny lohamilina master sy andevo ary tsy avela afa-tsy ho an'ny mpizara azo itokisana). Amin'ny maha-fiarovana fiarovana anao dia azonao atao ny manafoana ny fanohanan'ny IXFR amin'ny alàlan'ny "request-ixfr no;".
Source: opennet.ru
