Објавени се корективни ажурирања за стабилните гранки на BIND DNS серверот 9.11.31 и 9.16.15, како и за експерименталната гранка 9.17.12, која е во развој. Новите изданија се однесуваат на три пропусти, од кои едната (CVE-2021-25216) предизвикува прелевање на баферот. На 32-битни системи, ранливоста може да се искористи за далечинско извршување на кодот на напаѓачот со испраќање на специјално изработено барање за GSS-TSIG. На 64 системи проблемот е ограничен на падот на именуваниот процес.
Проблемот се појавува само кога механизмот GSS-TSIG е овозможен, активиран со помош на поставките tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG е оневозможен во стандардната конфигурација и обично се користи во мешани средини каде што BIND се комбинира со контролери на домен на Active Directory или кога се интегрира со Samba.
Ранливоста е предизвикана од грешка во имплементацијата на механизмот SPNEGO (Едноставен и заштитен GSSAPI Negotiation Mechanism), кој се користи во GSSAPI за преговарање за методите за заштита што ги користат клиентот и серверот. GSSAPI се користи како протокол на високо ниво за сигурна размена на клучеви со користење на наставката GSS-TSIG што се користи во процесот на автентикација на ажурирања на динамичната DNS зона.
Бидејќи претходно беа пронајдени критични пропусти во вградената имплементација на SPNEGO, имплементацијата на овој протокол е отстранета од базата на кодови BIND 9. За корисниците на кои им е потребна поддршка SPNEGO, се препорачува да се користи надворешна имплементација обезбедена од GSSAPI системска библиотека (обезбедена во MIT Kerberos и Heimdal Kerberos).
Корисниците на постарите верзии на BIND, како решение за блокирање на проблемот, можат да го оневозможат GSS-TSIG во поставките (опции tkey-gssapi-keytab и tkey-gssapi-credential) или да го обноват BIND без поддршка за механизмот SPNEGO (опција „- -disable-isc-spnego" во скриптата "конфигурирај"). Можете да ја следите достапноста на ажурирањата во дистрибуциите на следните страници: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL и ALT Linux пакетите се изградени без мајчин поддршка SPNEGO.
Дополнително, уште две пропусти се поправени во предметните ажурирања на BIND:
- CVE-2021-25215 — именуваниот процес падна при обработка на записите DNAME (обработка на пренасочување на дел од поддомени), што доведе до додавање дупликати во делот ANSWER. Искористувањето на ранливоста на авторитативните DNS сервери бара правење промени во обработените DNS зони, а за рекурзивните сервери, проблематичниот запис може да се добие откако ќе се контактира со авторитативниот сервер.
- CVE-2021-25214 – Именуваниот процес паѓа кога се обработува специјално направено дојдовно барање IXFR (се користи за постепено пренесување на промените во зоните на DNS помеѓу DNS сервери). Проблемот ги погодува само системите што дозволиле пренос на DNS зона од серверот на напаѓачот (обично зонските трансфери се користат за синхронизирање на главниот и slave серверот и селективно се дозволени само за доверливи сервери). Како безбедносно решение, можете да ја оневозможите поддршката за IXFR користејќи ја поставката „request-ixfr no;“.
Извор: opennet.ru