BIND DNS ဆာဗာ 9.11.31 နှင့် 9.16.15 ၏ တည်ငြိမ်သော အကိုင်းအခက်များအတွက် မှန်ကန်သော အပ်ဒိတ်များကို ထုတ်ဝေခဲ့ပြီး၊ ဖွံ့ဖြိုးတိုးတက်ဆဲဖြစ်သော စမ်းသပ်ဆဲဌာနခွဲ 9.17.12 ကို ထုတ်ဝေလိုက်ပါသည်။ အသစ်ထွက်ရှိမှုများတွင် အားနည်းချက်သုံးခုကို ဖြေရှင်းပေးထားပြီး ၎င်းတို့ထဲမှတစ်ခုမှာ (CVE-2021-25216) buffer overflow ဖြစ်စေသည်။ 32-bit စနစ်များတွင်၊ အထူးပြုလုပ်ထားသော GSS-TSIG တောင်းဆိုချက်ကို ပေးပို့ခြင်းဖြင့် တိုက်ခိုက်သူ၏ကုဒ်ကို အဝေးမှလုပ်ဆောင်ရန် အားနည်းချက်ကို အသုံးချနိုင်သည်။ စနစ် 64 တွင် ပြဿနာသည် အမည်ပေးထားသော လုပ်ငန်းစဉ်၏ ပျက်စီးခြင်းအတွက် ကန့်သတ်ထားသည်။
tkey-gssapi-keytab နှင့် tkey-gssapi-credential ဆက်တင်များကို အသုံးပြု၍ GSS-TSIG ယန္တရားကိုဖွင့်ထားသောအခါမှသာ ပြဿနာပေါ်လာပါသည်။ GSS-TSIG ကို ပုံသေဖွဲ့စည်းပုံတွင် ပိတ်ထားပြီး BIND ကို Active Directory domain controllers များနှင့် ပေါင်းစပ်ထားရာ သို့မဟုတ် Samba နှင့် ပေါင်းစည်းသည့်အခါ ရောနှောသောပတ်ဝန်းကျင်များတွင် အသုံးပြုပါသည်။
သုံးစွဲသူနှင့် ဆာဗာမှ အသုံးပြုသည့် ကာကွယ်မှုနည်းလမ်းများကို ညှိနှိုင်းရန်အတွက် GSSAPI တွင် အသုံးပြုသည့် SPNEGO (ရိုးရှင်းပြီး ကာကွယ်ထားသော GSSAPI ညှိနှိုင်းရေးယန္တရား) အကောင်အထည်ဖော်မှုတွင် အားနည်းချက်ကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ GSSAPI ကို ဒိုင်းနမစ် DNS ဇုန်အပ်ဒိတ်များကို စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းလုပ်ငန်းစဉ်တွင် အသုံးပြုသည့် GSS-TSIG တိုးချဲ့မှုကို အသုံးပြု၍ လုံခြုံသောသော့လဲလှယ်မှုအတွက် အဆင့်မြင့်ပရိုတိုကောအဖြစ် အသုံးပြုသည်။
SPNEGO ၏ ထည့်သွင်းထားသည့် အကောင်အထည်ဖော်မှုတွင် အရေးကြီးသော အားနည်းချက်များကို ယခင်က တွေ့ရှိထားသောကြောင့်၊ ဤပရိုတိုကောကို အကောင်အထည်ဖော်ခြင်းအား BIND 9 ကုဒ်အခြေခံမှ ဖယ်ရှားလိုက်ပါသည်။ SPNEGO ပံ့ပိုးမှုလိုအပ်သော သုံးစွဲသူများအတွက်၊ GSSAPI မှ ပံ့ပိုးပေးထားသည့် ပြင်ပအကောင်အထည်ဖော်မှုကို အသုံးပြုရန် အကြံပြုအပ်ပါသည်။ စနစ်စာကြည့်တိုက် (MIT Kerberos နှင့် Heimdal Kerberos)။
BIND ၏ ဗားရှင်းအဟောင်းများကို အသုံးပြုသူများသည် ပြဿနာကို ပိတ်ဆို့ရန်အတွက် ဖြေရှင်းချက်အနေဖြင့်၊ ဆက်တင်များတွင် GSS-TSIG ကို ပိတ်နိုင်သည် (ရွေးချယ်စရာများ tkey-gssapi-keytab နှင့် tkey-gssapi-အထောက်အထားများ) သို့မဟုတ် SPNEGO ယန္တရားအတွက် ပံ့ပိုးမှုမရှိဘဲ BIND ကို ပြန်လည်တည်ဆောက်နိုင်သည် (ရွေးချယ်စရာ "- script "configure" တွင် -disable-isc-spnego)။ အောက်ပါစာမျက်နှာများတွင် ဖြန့်ဝေမှုများတွင် အပ်ဒိတ်များရရှိနိုင်မှုကို ခြေရာခံနိုင်သည်- Debian၊ SUSE၊ Ubuntu၊ Fedora၊ Arch Linux၊ FreeBSD၊ NetBSD။ RHEL နှင့် ALT Linux ပက်ကေ့ဂျ်များကို မူရင်း SPNEGO ပံ့ပိုးမှုမပါဘဲ တည်ဆောက်ထားသည်။
ထို့အပြင်၊ မေးခွန်းရှိ BIND အပ်ဒိတ်များတွင် နောက်ထပ် အားနည်းချက်နှစ်ခုကို ပြင်ဆင်ထားသည်-
- CVE-2021-25215 — DNAME မှတ်တမ်းများ (ဒိုမိန်းခွဲများ၏ တစ်စိတ်တစ်ပိုင်းကို ပြန်လည်ညွှန်ပြခြင်း လုပ်ဆောင်ခြင်း) တွင် အမည်ပေးထားသည့် လုပ်ငန်းစဉ်သည် ANSWER ကဏ္ဍသို့ ထပ်နေသော ထပ်တူများကို ပေါင်းထည့်ခြင်းဖြင့် ပျက်သွားသည်။ တရားဝင် DNS ဆာဗာများတွင် အားနည်းချက်ကို အသုံးချခြင်းသည် စီမံဆောင်ရွက်ထားသော DNS ဇုန်များကို အပြောင်းအလဲများ ပြုလုပ်ရန် လိုအပ်ပြီး recursive servers များအတွက်၊ authoritative server ကို ဆက်သွယ်ပြီးနောက် ပြဿနာရှိသော မှတ်တမ်းကို ရယူနိုင်ပါသည်။
- CVE-2021-25214 - အထူးဖန်တီးထားသော အဝင် IXFR တောင်းဆိုချက် (DNS ဇုန်များရှိ အပြောင်းအလဲများကို DNS ဆာဗာများကြားတွင် တိုးမြင့်စွာ လွှဲပြောင်းရန်အတွက် အသုံးပြုသည်) အမည်ပေးထားသော လုပ်ငန်းစဉ်သည် ပျက်သွားသည်။ ပြဿနာသည် တိုက်ခိုက်သူ၏ဆာဗာမှ DNS ဇုန်လွှဲပြောင်းမှုများကို ခွင့်ပြုထားသည့်စနစ်များကိုသာ အကျိုးသက်ရောက်သည် (များသောအားဖြင့် ဇုန်လွှဲပြောင်းမှုများကို မာစတာနှင့်ကျွန်ဆာဗာများကို တစ်ပြိုင်တည်းလုပ်ဆောင်ရန်အသုံးပြုပြီး ယုံကြည်စိတ်ချရသောဆာဗာများအတွက်သာ ရွေးချယ်ခွင့်ပြုထားသည်)။ လုံခြုံရေးဖြေရှင်းချက်အနေဖြင့် သင်သည် “request-ixfr no;” ဆက်တင်ကို အသုံးပြု၍ IXFR ပံ့ပိုးမှုကို ပိတ်နိုင်သည်။
source: opennet.ru