рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > рд░рд┐рдореЛрдЯ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЬреЛрдЦрд┐рдо рд╕рдорд╛рдзрд╛рди рдЧрд░реНрди BIND DNS рд╕рд░реНрднрд░ рдЕрдкрдбреЗрдЯ рдЧрд░реНрджреИ

рд░рд┐рдореЛрдЯ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЬреЛрдЦрд┐рдо рд╕рдорд╛рдзрд╛рди рдЧрд░реНрди BIND DNS рд╕рд░реНрднрд░ рдЕрдкрдбреЗрдЯ рдЧрд░реНрджреИ

BIND DNS рд╕рд░реНрднрд░ 9.11.31 рд░ 9.16.15 рдХреЛ рд╕реНрдерд┐рд░ рд╢рд╛рдЦрд╛рд╣рд░реВ, рд╕рд╛рдереИ рдкреНрд░рдпреЛрдЧрд╛рддреНрдордХ рд╢рд╛рдЦрд╛ 9.17.12 рдХреЛ рд▓рд╛рдЧрд┐ рд╕реБрдзрд╛рд░рд╛рддреНрдордХ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВ рдкреНрд░рдХрд╛рд╢рд┐рдд рдЧрд░рд┐рдПрдХреЛ рдЫ, рдЬреБрди рд╡рд┐рдХрд╛рд╕рдорд╛ рдЫред рдирдпрд╛рдБ рд░рд┐рд▓рд┐рдЬрд╣рд░реВрд▓реЗ рддреАрдирд╡рдЯрд╛ рдХрдордЬреЛрд░реАрд╣рд░реВрд▓рд╛рдИ рд╕рдореНрдмреЛрдзрди рдЧрд░реНрджрдЫ, рдЬрд╕рдордзреНрдпреЗ рдПрдЙрдЯрд╛ (CVE-2021-25216) рд▓реЗ рдмрдлрд░ рдУрднрд░рдлреНрд▓реЛ рдирд┐рдореНрддреНрдпрд╛рдЙрдБрдЫред 32-рдмрд┐рдЯ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВрдорд╛, рд╡рд┐рд╢реЗрд╖ рд░реВрдкрдорд╛ рдХреНрд░рд╛рдлреНрдЯ рдЧрд░рд┐рдПрдХреЛ GSS-TSIG рдЕрдиреБрд░реЛрдз рдкрдард╛рдПрд░ рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛рдХреЛ рдХреЛрдб рдЯрд╛рдврд╛рдмрд╛рдЯ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░реНрди рдЬреЛрдЦрд┐рдордХреЛ рд╢реЛрд╖рдг рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред 64 рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВрдорд╛ рд╕рдорд╕реНрдпрд╛ рдирд╛рдорд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛рдХреЛ рдХреНрд░реНрдпрд╛рд╕рдорд╛ рд╕реАрдорд┐рдд рдЫред

Tkey-gssapi-keytab рд░ tkey-gssapi-рдХреНрд░реЗрдбреЗрдиреНрд╕рд┐рдпрд▓ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ GSS-TSIG рдореЗрдХрд╛рдирд┐рдЬрдо рд╕рдХреНрд╖рдо рдкрд╛рд░рд┐рдПрдкрдЫрд┐ рдорд╛рддреНрд░ рд╕рдорд╕реНрдпрд╛ рджреЗрдЦрд╛ рдкрд░реНрджрдЫред GSS-TSIG рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ рдЕрд╕рдХреНрд╖рдо рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рд╕рд╛рдорд╛рдиреНрдпрддрдпрд╛ рдорд┐рд╢реНрд░рд┐рдд рд╡рд╛рддрд╛рд╡рд░рдгрдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ рдЬрд╣рд╛рдБ BIND рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдбреЛрдореЗрди рдирд┐рдпрдиреНрддреНрд░рдХрд╣рд░реВрд╕рдБрдЧ рдЬреЛрдбрд┐рдПрдХреЛ рд╣реБрдиреНрдЫ, рд╡рд╛ рд╕рд╛рдореНрдмрд╛рд╕рдБрдЧ рдПрдХреАрдХрд░рдг рдЧрд░реНрджрд╛ред

рдЧреНрд░рд╛рд╣рдХ рд░ рд╕рд░реНрднрд░ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдПрдХреЛ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рдзрд┐рд╣рд░реВ рд╡рд╛рд░реНрддрд╛ рдЧрд░реНрди GSSAPI рдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдПрдХреЛ SPNEGO (рд╕рд░рд▓ рд░ рд╕реБрд░рдХреНрд╖рд┐рдд GSSAPI рд╡рд╛рд░реНрддрд╛ рд╕рдВрдпрдиреНрддреНрд░) рдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдорд╛ рддреНрд░реБрдЯрд┐рдХреЛ рдХрд╛рд░рдгрд▓реЗ рдЧрд░реНрджрд╛ рдЬреЛрдЦрд┐рдо рдЙрддреНрдкрдиреНрди рднрдПрдХреЛ рд╣реЛред GSSAPI рд▓рд╛рдИ рдЧрддрд┐рд╢реАрд▓ DNS рдХреНрд╖реЗрддреНрд░ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдЧрд░реНрдиреЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдПрдХреЛ GSS-TSIG рд╡рд┐рд╕реНрддрд╛рд░ рдкреНрд░рдпреЛрдЧ рдЧрд░реА рд╕реБрд░рдХреНрд╖рд┐рдд рдХреБрдЮреНрдЬреА рдЖрджрд╛рдирдкреНрд░рджрд╛рдирдХреЛ рд▓рд╛рдЧрд┐ рдЙрдЪреНрдЪ-рд╕реНрддрд░реАрдп рдкреНрд░реЛрдЯреЛрдХрд▓рдХреЛ рд░реВрдкрдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред

SPNEGO рдХреЛ рдирд┐рд░реНрдорд┐рдд рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдорд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдХрдордЬреЛрд░реАрд╣рд░реВ рдкрд╣рд┐рд▓реЗ рдлреЗрд▓рд╛ рдкрд░реЗрдХреЛ рд╣реБрдирд╛рд▓реЗ, BIND 9 рдХреЛрдб рдЖрдзрд╛рд░рдмрд╛рдЯ рдпрд╕ рдкреНрд░реЛрдЯреЛрдХрд▓рдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рд╣рдЯрд╛рдЗрдПрдХреЛ рдЫред SPNEGO рд╕рдорд░реНрдерди рдЪрд╛рд╣рд┐рдиреЗ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрдХрд╛ рд▓рд╛рдЧрд┐, GSSAPI рджреНрд╡рд╛рд░рд╛ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ рдмрд╛рд╣реНрдп рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдиреНрдЫред рдкреНрд░рдгрд╛рд▓реА рдкреБрд╕реНрддрдХрд╛рд▓рдп (MIT Kerberos рд░ Heimdal Kerberos рдорд╛ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ)ред

BIND рдХреЛ рдкреБрд░рд╛рдиреЛ рд╕рдВрд╕реНрдХрд░рдгрдХрд╛ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ, рд╕рдорд╕реНрдпрд╛рд▓рд╛рдИ рд░реЛрдХреНрдирдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд╛рдзрд╛рдирдХреЛ рд░реВрдкрдорд╛, GSS-TSIG рд▓рд╛рдИ рд╕реЗрдЯрд┐рдЩрд╣рд░реВрдорд╛ рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди рд╕рдХреНрдЫрдиреН (рд╡рд┐рдХрд▓реНрдкрд╣рд░реВ tkey-gssapi-keytab рд░ tkey-gssapi-credential) рд╡рд╛ SPNEGO рдореЗрдХрд╛рдирд┐рдЬрдордХреЛ рд╕рдорд░реНрдерди рдмрд┐рдирд╛ BIND рдкреБрди: рдирд┐рд░реНрдорд╛рдг рдЧрд░реНрди рд╕рдХреНрдЫрдиреН (рд╡рд┐рдХрд▓реНрдк "- -disable-isc-spnego" рд╕реНрдХреНрд░рд┐рдкреНрдЯ "рдХрдиреНрдлрд┐рдЧрд░" рдорд╛)ред рддрдкрд╛рдИрдВрд▓реЗ рдирд┐рдореНрди рдкреГрд╖реНрдард╣рд░реВрдорд╛ рд╡рд┐рддрд░рдгрдорд╛ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВрдХреЛ рдЙрдкрд▓рдмреНрдзрддрд╛ рдЯреНрд░реНрдпрд╛рдХ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ: рдбреЗрдмрд┐рдпрди, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSDред RHEL рд░ ALT Linux рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВ рдиреЗрдЯрд┐рдн SPNEGO рд╕рдорд░реНрдерди рдмрд┐рдирд╛ рдирд┐рд░реНрдорд╛рдг рдЧрд░рд┐рдПрдХрд╛ рдЫрдиреНред

рдердк рд░реВрдкрдорд╛, рдкреНрд░рд╢реНрдирдорд╛ BIND рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВрдорд╛ рджреБрдИ рдердк рдХрдордЬреЛрд░реАрд╣рд░реВ рдирд┐рд╢реНрдЪрд┐рдд рдЫрдиреН:

  • CVE-2021-25215 тАФ DNAME рд░реЗрдХрд░реНрдбрд╣рд░реВ рдкреНрд░рд╢реЛрдзрди рдЧрд░реНрджрд╛ рдирд╛рдорд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреНрд░реНрдпрд╛рд╕ рднрдпреЛ (рд╕рдмрдбреЛрдореЗрдирд╣рд░реВрдХреЛ рднрд╛рдЧрдХреЛ рдкреБрди: рдирд┐рд░реНрджреЗрд╢рд┐рдд рдкреНрд░рд╢реЛрдзрди), рдЬрд╕рд▓реЗ рдЙрддреНрддрд░ рдЦрдгреНрдбрдорд╛ рдбреБрдкреНрд▓рд┐рдХреЗрдЯрд╣рд░реВ рдердкреНрди рдЬрд╛рдиреНрдЫред рдЖрдзрд┐рдХрд╛рд░рд┐рдХ DNS рд╕рд░реНрднрд░рд╣рд░реВрдорд╛ рдЬреЛрдЦрд┐рдордХреЛ рд╢реЛрд╖рдг рдЧрд░реНрди рдкреНрд░рд╢реЛрдзрд┐рдд DNS рдХреНрд╖реЗрддреНрд░рд╣рд░реВрдорд╛ рдкрд░рд┐рд╡рд░реНрддрдирд╣рд░реВ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ, рд░ рдкреБрдирд░рд╛рд╡рд░реНрддреА рд╕рд░реНрднрд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐, рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рд╕рд░реНрднрд░рд▓рд╛рдИ рд╕рдореНрдкрд░реНрдХ рдЧрд░реЗрдкрдЫрд┐ рд╕рдорд╕реНрдпрд╛рдЧреНрд░рд╕реНрдд рд░реЗрдХрд░реНрдб рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред
  • CVE-2021-25214 - рд╡рд┐рд╢реЗрд╖ рд░реВрдкрдорд╛ рдХреНрд░рд╛рдлреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдЗрдирдХрдорд┐рдЩ IXFR рдЕрдиреБрд░реЛрдз (DNS рд╕рд░реНрднрд░рд╣рд░реВ рдмреАрдЪ DNS рдЬреЛрдирд╣рд░реВрдорд╛ рдмрдвреНрджреЛ рд░реВрдкрдорд╛ рдкрд░рд┐рд╡рд░реНрддрдирд╣рд░реВ рд╕реНрдерд╛рдирд╛рдиреНрддрд░рдг рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ) рдкреНрд░рд╢реЛрдзрди рдЧрд░реНрджрд╛ рдирд╛рдорд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреНрд░реНрдпрд╛рд╕ рд╣реБрдиреНрдЫред рд╕рдорд╕реНрдпрд╛рд▓реЗ рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛рдХреЛ рд╕рд░реНрднрд░рдмрд╛рдЯ DNS рдХреНрд╖реЗрддреНрд░ рд╕реНрдерд╛рдирд╛рдиреНрддрд░рдг рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдПрдХреЛ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВрд▓рд╛рдИ рдорд╛рддреНрд░ рдЕрд╕рд░ рдЧрд░реНрдЫ (рд╕рд╛рдорд╛рдиреНрдпрддрдпрд╛ рдЬреЛрди рд╕реНрдерд╛рдирд╛рдиреНрддрд░рдгрд╣рд░реВ рдорд╛рд╕реНрдЯрд░ рд░ рджрд╛рд╕ рд╕рд░реНрднрд░рд╣рд░реВ рд╕рд┐рдЩреНрдХреНрд░реЛрдирд╛рдЗрдЬ рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ рд░ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд╕рд░реНрднрд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдорд╛рддреНрд░ рдЪрдпрди рдЧрд░рд┐рдПрдХреЛ рдЫ)ред рд╕реБрд░рдХреНрд╖рд╛ рдЙрдкрд╛рдпрдХреЛ рд░реВрдкрдорд╛, рддрдкрд╛рдИрдВрд▓реЗ "request-ixfr no;" рд╕реЗрдЯрд┐рдЩ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ IXFR рд╕рдорд░реНрдерди рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫред

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди