BIND DNS серверийн 9.11.31 ба 9.16.15-ын тогтвортой салбарууд, мөн хөгжүүлж буй туршилтын 9.17.12 салбаруудад зориулсан залруулах шинэчлэлтүүд нийтлэгдсэн. Шинэ хувилбарууд нь гурван эмзэг байдлыг арилгах бөгөөд тэдгээрийн нэг нь (CVE-2021-25216) буферийн хэт ачаалал үүсгэдэг. 32 битийн систем дээр тусгайлан боловсруулсан GSS-TSIG хүсэлтийг илгээх замаар халдагчийн кодыг алсаас ажиллуулахын тулд эмзэг байдлыг ашиглаж болно. 64 систем дээр асуудал нь зөвхөн нэрлэсэн процессын сүйрлээр хязгаарлагддаг.
Асуудал нь GSS-TSIG механизмыг идэвхжүүлж, tkey-gssapi-keytab болон tkey-gssapi-credential тохиргоог ашиглан идэвхжүүлсэн үед л гарч ирнэ. GSS-TSIG нь анхдагч тохиргоонд идэвхгүй болсон бөгөөд BIND нь Active Directory домэйн хянагчтай хослуулсан эсвэл Samba-тай нэгтгэсэн холимог орчинд ихэвчлэн ашиглагддаг.
Энэ эмзэг байдал нь GSSAPI-д үйлчлүүлэгч болон серверийн ашигладаг хамгаалалтын аргуудыг тохиролцоход ашигладаг SPNEGO (Энгийн бөгөөд Хамгаалагдсан GSSAPI хэлэлцээрийн механизм) механизмыг хэрэгжүүлэх явцад гарсан алдаанаас үүдэлтэй. GSSAPI нь динамик DNS бүсийн шинэчлэлтийг баталгаажуулах явцад ашигладаг GSS-TSIG өргөтгөлийг ашиглан аюулгүй түлхүүр солилцох өндөр түвшний протокол болгон ашигладаг.
SPNEGO-ийн үндсэн хэрэгжилтийн чухал сул талууд өмнө нь олдсон тул энэ протоколын хэрэгжилтийг BIND 9 кодын баазаас хассан. SPNEGO-ийн дэмжлэг авах шаардлагатай хэрэглэгчдийн хувьд GSSAPI системийн номын сангаас өгсөн гадны хэрэгжилтийг ашиглахыг зөвлөж байна. (MIT Kerberos болон Heimdal Kerberos-д өгсөн).
BIND-ийн хуучин хувилбаруудын хэрэглэгчид асуудлыг хаахын тулд GSS-TSIG-г тохиргооноос идэвхгүй болгох (tkey-gssapi-keytab болон tkey-gssapi-credential сонголтууд) эсвэл SPNEGO механизмыг дэмжихгүйгээр BIND-г дахин бүтээх боломжтой (сонголт "- -disable-isc-spnego" скрипт "тохиргоо"). Та дараах хуудсуудаас түгээлтийн шинэчлэлтүүдийн бэлэн байдлыг хянах боломжтой: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL болон ALT Линукс багцууд нь эх SPNEGO дэмжлэггүйгээр бүтээгдсэн.
Нэмж дурдахад, BIND шинэчлэлтүүдэд өөр хоёр эмзэг байдлыг зассан:
- CVE-2021-25215 — нэрлэсэн процесс нь DNAME бичлэгийг боловсруулах явцад гацсан (дэд домайнуудын хэсгийг дахин чиглүүлэх) нь ХАРИУЛТ хэсэгт давхардсан файлуудыг нэмэхэд хүргэсэн. Эрх мэдэл бүхий DNS серверүүд дээрх эмзэг байдлыг ашиглахын тулд боловсруулсан DNS бүсэд өөрчлөлт оруулах шаардлагатай бөгөөд рекурсив серверүүдийн хувьд эрх бүхий сервертэй холбоо тогтоосны дараа асуудалтай бүртгэлийг авч болно.
- CVE-2021-25214 – Тусгайлан боловсруулсан ирж буй IXFR хүсэлтийг боловсруулах үед нэрлэсэн процесс гацдаг (DNS серверүүдийн хооронд DNS бүсийн өөрчлөлтийг аажмаар шилжүүлэхэд ашигладаг). Асуудал нь халдагчийн серверээс DNS бүсийн шилжүүлгийг зөвшөөрсөн системүүдэд л хамаатай (ихэвчлэн бүсийн дамжуулалтыг мастер болон slave серверүүдийг синхрончлоход ашигладаг бөгөөд зөвхөн найдвартай серверүүдэд сонгон зөвшөөрдөг). Аюулгүй байдлын шийдлийн хувьд та "request-ixfr no;" тохиргоог ашиглан IXFR дэмжлэгийг идэвхгүй болгож болно.
Эх сурвалж: opennet.ru