Kemas kini pembetulan telah diterbitkan untuk cawangan stabil pelayan DNS BIND 9.11.31 dan 9.16.15, serta cawangan percubaan 9.17.12, yang sedang dibangunkan. Keluaran baharu menangani tiga kelemahan, salah satunya (CVE-2021-25216) menyebabkan limpahan penimbal. Pada sistem 32-bit, kelemahan boleh dieksploitasi untuk melaksanakan kod penyerang dari jauh dengan menghantar permintaan GSS-TSIG yang direka khas. Pada sistem 64 masalahnya terhad kepada ranap proses yang dinamakan.
Masalah hanya muncul apabila mekanisme GSS-TSIG didayakan, diaktifkan menggunakan tetapan kelayakan tkey-gssapi-keytab dan tkey-gssapi-credential. GSS-TSIG dilumpuhkan dalam konfigurasi lalai dan biasanya digunakan dalam persekitaran bercampur yang BIND digabungkan dengan pengawal domain Active Directory atau apabila menyepadukan dengan Samba.
Kerentanan ini disebabkan oleh ralat dalam pelaksanaan mekanisme SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), yang digunakan dalam GSSAPI untuk merundingkan kaedah perlindungan yang digunakan oleh pelanggan dan pelayan. GSSAPI digunakan sebagai protokol peringkat tinggi untuk pertukaran kunci selamat menggunakan sambungan GSS-TSIG yang digunakan dalam proses mengesahkan kemas kini zon DNS dinamik.
Oleh kerana kelemahan kritikal dalam pelaksanaan terbina dalam SPNEGO telah ditemui sebelum ini, pelaksanaan protokol ini telah dialih keluar daripada pangkalan kod BIND 9. Bagi pengguna yang memerlukan sokongan SPNEGO, adalah disyorkan untuk menggunakan pelaksanaan luaran yang disediakan oleh GSSAPI. perpustakaan sistem (disediakan dalam MIT Kerberos dan Heimdal Kerberos).
Pengguna versi lama BIND, sebagai penyelesaian untuk menyekat masalah, boleh melumpuhkan GSS-TSIG dalam tetapan (pilihan tkey-gssapi-keytab dan tkey-gssapi-credential) atau membina semula BIND tanpa sokongan untuk mekanisme SPNEGO (pilihan "- -disable-isc-spnego" dalam skrip "configure"). Anda boleh menjejaki ketersediaan kemas kini dalam pengedaran pada halaman berikut: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Pakej RHEL dan ALT Linux dibina tanpa sokongan SPNEGO asli.
Selain itu, dua lagi kelemahan ditetapkan dalam kemas kini BIND yang dipersoalkan:
- CVE-2021-25215 β proses yang dinamakan ranap apabila memproses rekod DNAME (pemprosesan ubah hala sebahagian daripada subdomain), yang membawa kepada penambahan pendua pada bahagian JAWAPAN. Mengeksploitasi kelemahan pada pelayan DNS berwibawa memerlukan membuat perubahan pada zon DNS yang diproses, dan untuk pelayan rekursif, rekod bermasalah boleh diperolehi selepas menghubungi pelayan berwibawa.
- CVE-2021-25214 β Proses yang dinamakan ranap apabila memproses permintaan IXFR masuk yang dibuat khas (digunakan untuk memindahkan perubahan secara berperingkat dalam zon DNS antara pelayan DNS). Masalahnya hanya melibatkan sistem yang telah membenarkan pemindahan zon DNS daripada pelayan penyerang (biasanya pemindahan zon digunakan untuk menyegerakkan pelayan induk dan hamba dan secara terpilih dibenarkan hanya untuk pelayan yang boleh dipercayai). Sebagai penyelesaian keselamatan, anda boleh melumpuhkan sokongan IXFR menggunakan tetapan "request-ixfr no;".
Sumber: opennet.ru