Er zijn corrigerende updates gepubliceerd voor de stabiele takken van de BIND DNS-server 9.11.31 en 9.16.15, evenals voor de experimentele tak 9.17.12, die in ontwikkeling is. De nieuwe releases pakken drie kwetsbaarheden aan, waarvan er één (CVE-2021-25216) een bufferoverflow veroorzaakt. Op 32-bits systemen kan het beveiligingslek worden misbruikt om de code van een aanvaller op afstand uit te voeren door een speciaal vervaardigd GSS-TSIG-verzoek te verzenden. Op 64 systemen is het probleem beperkt tot het crashen van het genoemde proces.
Het probleem doet zich alleen voor als het GSS-TSIG-mechanisme is ingeschakeld, geactiveerd met behulp van de instellingen voor tkey-gssapi-keytab en tkey-gssapi-credential. GSS-TSIG is uitgeschakeld in de standaardconfiguratie en wordt doorgaans gebruikt in gemengde omgevingen waar BIND wordt gecombineerd met Active Directory-domeincontrollers, of bij integratie met Samba.
Het beveiligingslek wordt veroorzaakt door een fout in de implementatie van het SPNEGO-mechanisme (Simple and Protected GSSAPI Negotiation Mechanism), dat in GSSAPI wordt gebruikt om te onderhandelen over de beveiligingsmethoden die door de client en de server worden gebruikt. GSSAPI wordt gebruikt als een protocol op hoog niveau voor veilige sleuteluitwisseling met behulp van de GSS-TSIG-extensie die wordt gebruikt bij het authenticeren van dynamische DNS-zone-updates.
Omdat eerder kritieke kwetsbaarheden in de ingebouwde implementatie van SPNEGO zijn gevonden, is de implementatie van dit protocol verwijderd uit de codebasis van BIND 9. Voor gebruikers die SPNEGO-ondersteuning nodig hebben, wordt aanbevolen een externe implementatie te gebruiken die wordt aangeboden door de GSSAPI systeembibliotheek (geleverd in MIT Kerberos en Heimdal Kerberos).
Gebruikers van oudere versies van BIND kunnen, als tijdelijke oplossing voor het blokkeren van het probleem, GSS-TSIG uitschakelen in de instellingen (opties tkey-gssapi-keytab en tkey-gssapi-credential) of BIND opnieuw opbouwen zonder ondersteuning voor het SPNEGO-mechanisme (optie "- -disable-isc-spnego" in script "configureren"). U kunt de beschikbaarheid van updates in distributies volgen op de volgende pagina's: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL- en ALT Linux-pakketten zijn gebouwd zonder native SPNEGO-ondersteuning.
Daarnaast zijn er nog twee kwetsbaarheden opgelost in de betreffende BIND-updates:
- CVE-2021-25215 — het genoemde proces crashte bij het verwerken van DNAME-records (omleidingsverwerking van een deel van subdomeinen), wat leidde tot de toevoeging van duplicaten aan de ANSWER-sectie. Het misbruiken van de kwetsbaarheid op gezaghebbende DNS-servers vereist het aanbrengen van wijzigingen in de verwerkte DNS-zones, en voor recursieve servers kan het problematische record worden verkregen nadat contact is opgenomen met de gezaghebbende server.
- CVE-2021-25214 – Het benoemde proces loopt vast bij het verwerken van een speciaal vervaardigd binnenkomend IXFR-verzoek (gebruikt om stapsgewijs wijzigingen in DNS-zones tussen DNS-servers over te dragen). Het probleem treft alleen systemen die DNS-zoneoverdrachten vanaf de server van de aanvaller hebben toegestaan (zoneoverdrachten worden doorgaans gebruikt om master- en slave-servers te synchroniseren en zijn selectief alleen toegestaan voor betrouwbare servers). Als beveiligingsoplossing kunt u IXFR-ondersteuning uitschakelen met de instelling “request-ixfr no;”.
Bron: opennet.ru