Ġew ippubblikati aġġornamenti korrettivi għall-fergħat stabbli tas-server BIND DNS 9.11.31 u 9.16.15, kif ukoll il-fergħa sperimentali 9.17.12, li tinsab fl-iżvilupp. Ir-rilaxxi l-ġodda jindirizzaw tliet vulnerabbiltajiet, li waħda minnhom (CVE-2021-25216) tikkawża overflow tal-buffer. Fuq sistemi 32-bit, il-vulnerabbiltà tista 'tiġi sfruttata biex tesegwixxi mill-bogħod kodiċi ta' attakkant billi tibgħat talba GSS-TSIG maħduma apposta. Fuq 64 sistemi l-problema hija limitata għall-ħabta tal-proċess imsemmi.
Il-problema tidher biss meta l-mekkaniżmu GSS-TSIG ikun attivat, attivat bl-użu tas-settings tkey-gssapi-keytab u tkey-gssapi-credential. GSS-TSIG huwa diżattivat fil-konfigurazzjoni default u huwa tipikament użat f'ambjenti mħallta fejn BIND huwa kkombinat ma 'kontrolluri ta' domain Active Directory, jew meta jintegra ma' Samba.
Il-vulnerabbiltà hija kkawżata minn żball fl-implimentazzjoni tal-mekkaniżmu SPNEGO (Mekkaniżmu ta 'Negozjar GSSAPI Sempliċi u Protet), użat f'GSSAPI biex jinnegozjaw il-metodi ta' protezzjoni użati mill-klijent u s-server. GSSAPI jintuża bħala protokoll ta 'livell għoli għal skambju sikur taċ-ċavetta bl-użu tal-estensjoni GSS-TSIG użata fil-proċess ta' awtentikazzjoni tal-aġġornamenti dinamiċi taż-żona DNS.
Minħabba li preċedentement instabu vulnerabbiltajiet kritiċi fl-implimentazzjoni nattiva ta 'SPNEGO, l-implimentazzjoni ta' dan il-protokoll tneħħa mill-bażi tal-kodiċi BIND 9. Għal utenti li jeħtieġu appoġġ SPNEGO, huwa rakkomandat li tintuża implimentazzjoni esterna pprovduta mil-librerija tas-sistema GSSAPI (provduta fil-MIT Kerberos u Heimdal Kerberos).
Utenti ta' verżjonijiet eqdem ta' BIND, bħala soluzzjoni għall-imblukkar tal-problema, jistgħu jiskonnettjaw GSS-TSIG fis-settings (għażliet tkey-gssapi-keytab u tkey-gssapi-credential) jew jerġgħu jibnu BIND mingħajr appoġġ għall-mekkaniżmu SPNEGO (għażla "- -disable-isc-spnego" fl-iskript "konfigura"). Tista 'ssegwi d-disponibbiltà ta' aġġornamenti fid-distribuzzjonijiet fil-paġni li ġejjin: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Il-pakketti RHEL u ALT Linux huma mibnija mingħajr appoġġ SPNEGO nattiv.
Barra minn hekk, żewġ vulnerabbiltajiet oħra huma ffissati fl-aġġornamenti BIND inkwistjoni:
- CVE-2021-25215 — il-proċess imsemmi ġġarraf meta pproċessa r-rekords DNAME (ipproċessar ta 'ridirezzjonar ta' parti mis-sottodominji), li wassal għaż-żieda ta 'duplikati fit-taqsima TWEĠIBA. L-isfruttament tal-vulnerabbiltà fuq servers DNS awtorevoli jeħtieġ li jsiru bidliet fiż-żoni DNS ipproċessati, u għal servers rikorsivi, ir-rekord problematiku jista 'jinkiseb wara li tikkuntattja s-server awtorevoli.
- CVE-2021-25214 – Il-proċess imsemmi jiġġarraf meta tiġi pproċessata talba IXFR deħlin maħduma apposta (użata biex tittrasferixxi b'mod inkrementali bidliet fiż-żoni DNS bejn servers DNS). Il-problema taffettwa biss is-sistemi li ppermettew it-trasferiment ta 'żoni DNS mis-server li jattakka (ġeneralment it-trasferimenti taż-żona jintużaw biex jissinkronizzaw is-servers master u slave u huma permessi b'mod selettiv biss għal servers affidabbli). Bħala soluzzjoni ta' sigurtà, tista' tiddiżattiva l-appoġġ IXFR billi tuża l-issettjar "request-ixfr no;".
Sors: opennet.ru