Kemas kini pembetulan telah diterbitkan untuk cawangan stabil pelayan DNS BIND 9.11.31 dan 9.16.15, serta cawangan percubaan 9.17.12, yang sedang dibangunkan. Keluaran baharu menangani tiga kelemahan, salah satunya (CVE-2021-25216) menyebabkan limpahan penimbal. Pada sistem 32-bit, kelemahan boleh dieksploitasi untuk melaksanakan kod penyerang dari jauh dengan menghantar permintaan GSS-TSIG yang direka khas. Pada sistem 64 masalahnya terhad kepada ranap proses yang dinamakan.
Masalah hanya muncul apabila mekanisme GSS-TSIG didayakan, diaktifkan menggunakan tetapan kelayakan tkey-gssapi-keytab dan tkey-gssapi-credential. GSS-TSIG dilumpuhkan dalam konfigurasi lalai dan biasanya digunakan dalam persekitaran bercampur yang BIND digabungkan dengan pengawal domain Active Directory atau apabila menyepadukan dengan Samba.
Kerentanan ini disebabkan oleh ralat dalam pelaksanaan mekanisme SPNEGO (Mekanisme Rundingan GSSAPI Mudah dan Terlindung), yang digunakan dalam GSSAPI untuk merundingkan protokol yang digunakan oleh klien dan pelayan Kaedah keselamatan. GSSAPI digunakan sebagai protokol peringkat tinggi untuk pertukaran kunci selamat menggunakan sambungan GSS-TSIG, yang digunakan dalam proses mengesahkan kesahihan kemas kini zon DNS dinamik.
Oleh kerana kelemahan kritikal dalam pelaksanaan terbina dalam SPNEGO telah ditemui sebelum ini, pelaksanaan protokol ini telah dialih keluar daripada pangkalan kod BIND 9. Bagi pengguna yang memerlukan sokongan SPNEGO, adalah disyorkan untuk menggunakan pelaksanaan luaran yang disediakan oleh GSSAPI. perpustakaan sistem (disediakan dalam MIT Kerberos dan Heimdal Kerberos).
Sebagai penyelesaian, pengguna versi BIND yang lebih lama boleh melumpuhkan GSS-TSIG dalam tetapan (parameter tkey-gssapi-keytab dan tkey-gssapi-credential) atau mengkompil semula BIND tanpa sokongan SPNEGO (pilihan "--disable-isc-spnego" dalam skrip "configure"). Anda boleh menjejaki kemas kini untuk pengedaran anda pada halaman berikut: Debian, SUSE, Ubuntu, Fedora, Gerbang Linux, FreeBSD, NetBSD. Pakej RHEL dan ALT Linux dikompilasi tanpa sokongan SPNEGO terbina dalam.
Selain itu, dua lagi kelemahan ditetapkan dalam kemas kini BIND yang dipersoalkan:
- CVE-2021-25215 — Proses yang dinamakan telah ranap semasa memproses rekod DNAME (pemprosesan pengalihan beberapa subdomain), mengakibatkan pendua ditambah ke bahagian JAWAPAN. Mengeksploitasi kerentanan pada pelayan DNS yang berwibawa memerlukan pengubahsuaian pada zon DNS yang sedang diproses, dan untuk yang rekursif pelayan Rekod yang bermasalah boleh diambil dengan menghubungi pelayan yang berwibawa.
- CVE-2021-25214 – Proses yang dinamakan ranap apabila memproses permintaan IXFR masuk yang dibuat khas (digunakan untuk memindahkan perubahan secara berperingkat dalam zon DNS antara pelayan DNS). Masalahnya hanya melibatkan sistem yang telah membenarkan pemindahan zon DNS daripada pelayan penyerang (biasanya pemindahan zon digunakan untuk menyegerakkan pelayan induk dan hamba dan secara terpilih dibenarkan hanya untuk pelayan yang boleh dipercayai). Sebagai penyelesaian keselamatan, anda boleh melumpuhkan sokongan IXFR menggunakan tetapan "request-ixfr no;".
Sumber: opennet.ru
