റിമോട്ട് കോഡ് എക്‌സിക്യൂഷൻ ഒഴിവാക്കാത്ത BIND DNS സെർവറിലെ അപകടസാധ്യത

BIND DNS സെർവർ 9.11.28, 9.16.12 എന്നിവയുടെ സ്ഥിരതയുള്ള ശാഖകൾക്കും വികസനത്തിലിരിക്കുന്ന പരീക്ഷണ ശാഖയായ 9.17.10 നും തിരുത്തൽ അപ്‌ഡേറ്റുകൾ പ്രസിദ്ധീകരിച്ചു. പുതിയ റിലീസുകൾ ഒരു ബഫർ ഓവർഫ്ലോ ദുർബലതയെ (CVE-2020-8625) അഭിസംബോധന ചെയ്യുന്നു, അത് ഒരു ആക്രമണകാരിയുടെ റിമോട്ട് കോഡ് നിർവ്വഹണത്തിലേക്ക് നയിച്ചേക്കാം. തൊഴിൽ ചൂഷണത്തിൻ്റെ സൂചനകളൊന്നും ഇതുവരെ കണ്ടെത്തിയിട്ടില്ല.

ക്ലയന്റ് ഉപയോഗിക്കുന്ന പ്രോട്ടോക്കോളുകൾ ചർച്ച ചെയ്യുന്നതിന് GSSAPI-യിൽ ഉപയോഗിക്കുന്ന SPNEGO (സിമ്പിൾ ആൻഡ് പ്രൊട്ടക്റ്റഡ് GSSAPI നെഗോഷ്യേഷൻ മെക്കാനിസം) മെക്കാനിസം നടപ്പിലാക്കുന്നതിലെ ഒരു പിശകാണ് പ്രശ്നത്തിന് കാരണം, കൂടാതെ സെർവർ സുരക്ഷാ രീതികൾ. ഡൈനാമിക് DNS സോൺ അപ്‌ഡേറ്റുകളുടെ ആധികാരികത പരിശോധിക്കുന്ന പ്രക്രിയയിൽ ഉപയോഗിക്കുന്ന GSS-TSIG എക്സ്റ്റൻഷൻ ഉപയോഗിച്ചുള്ള സുരക്ഷിത കീ എക്സ്ചേഞ്ചിനുള്ള ഒരു ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോക്കോളായി GSSAPI ഉപയോഗിക്കുന്നു.

GSS-TSIG പ്രവർത്തനക്ഷമമാക്കി കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന സിസ്റ്റങ്ങളെയാണ് ഈ ദുർബലത ബാധിക്കുന്നത് (ഉദാഹരണത്തിന്, tkey-gssapi-keytab, tkey-gssapi-credential ക്രമീകരണങ്ങൾ ഉപയോഗിക്കുകയാണെങ്കിൽ). BIND കൺട്രോളറുകളുമായി സംയോജിപ്പിച്ചിരിക്കുന്ന മിക്സഡ് എൻവയോൺമെന്റുകളിലാണ് GSS-TSIG സാധാരണയായി ഉപയോഗിക്കുന്നത്. ഡൊമെയ്ൻ ആക്ടീവ് ഡയറക്ടറി, അല്ലെങ്കിൽ സാംബയുമായി സംയോജിപ്പിക്കുമ്പോൾ. ഡിഫോൾട്ട് കോൺഫിഗറേഷനിൽ, GSS-TSIG പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു.

GSS-TSIG പ്രവർത്തനരഹിതമാക്കേണ്ട ആവശ്യമില്ലാത്ത ഒരു പരിഹാരമാർഗ്ഗം SPNEGO-യുടെ പിന്തുണയില്ലാതെ BIND നിർമ്മിക്കുക എന്നതാണ്. "configure" സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കുമ്പോൾ "--disable-isc-spnego" ഓപ്ഷൻ വ്യക്തമാക്കി ഇത് പ്രവർത്തനരഹിതമാക്കാം. വിതരണങ്ങളിൽ പ്രശ്നം പരിഹരിക്കപ്പെട്ടിട്ടില്ല. ഇനിപ്പറയുന്ന പേജുകളിൽ നിങ്ങൾക്ക് അപ്‌ഡേറ്റുകൾ ട്രാക്ക് ചെയ്യാൻ കഴിയും: Debian, ർഹെൽ, സൂസെ, Ubuntu, ഫെഡോറ, ആർച്ച് Linux, ഫ്രീബിഎസ്ഡി, നെറ്റ്ബിഎസ്ഡി.

അവലംബം: opennet.ru