Det er publisert korrigerende oppdateringer for de stabile grenene til BIND DNS-serveren 9.11.31 og 9.16.15, samt den eksperimentelle grenen 9.17.12, som er under utvikling. De nye utgivelsene adresserer tre sårbarheter, hvorav en (CVE-2021-25216) forårsaker bufferoverflyt. På 32-biters systemer kan sårbarheten utnyttes til å eksternt kjøre en angripers kode ved å sende en spesiallaget GSS-TSIG-forespørsel. På 64 systemer er problemet begrenset til krasj av den navngitte prosessen.
Problemet vises bare når GSS-TSIG-mekanismen er aktivert, aktivert ved hjelp av tkey-gssapi-keytab og tkey-gssapi-legitimasjonsinnstillingene. GSS-TSIG er deaktivert i standardkonfigurasjonen og brukes vanligvis i blandede miljøer der BIND kombineres med Active Directory-domenekontrollere, eller ved integrering med Samba.
Sårbarheten er forårsaket av en feil i implementeringen av SPNEGO-mekanismen (Simple and Protected GSSAPI Negotiation Mechanism), som brukes i GSSAPI for å forhandle frem beskyttelsesmetodene som brukes av klienten og serveren. GSSAPI brukes som en høynivåprotokoll for sikker nøkkelutveksling ved å bruke GSS-TSIG-utvidelsen som brukes i prosessen med å autentisere dynamiske DNS-soneoppdateringer.
Fordi kritiske sårbarheter i den innebygde implementeringen av SPNEGO har blitt funnet tidligere, er implementeringen av denne protokollen fjernet fra kodebasen BIND 9. For brukere som trenger SPNEGO-støtte, anbefales det å bruke en ekstern implementering levert av GSSAPI systembibliotek (leveres i MIT Kerberos og Heimdal Kerberos).
Brukere av eldre versjoner av BIND, som en løsning for å blokkere problemet, kan deaktivere GSS-TSIG i innstillingene (alternativer tkey-gssapi-keytab og tkey-gssapi-credential) eller gjenoppbygge BIND uten støtte for SPNEGO-mekanismen (alternativ "- -disable-isc-spnego" i skriptet "configure"). Du kan spore tilgjengeligheten av oppdateringer i distribusjoner på følgende sider: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL og ALT Linux-pakker er bygget uten innebygd SPNEGO-støtte.
I tillegg er ytterligere to sårbarheter fikset i de aktuelle BIND-oppdateringene:
- CVE-2021-25215 — den navngitte prosessen krasjet under behandling av DNAME-poster (omdirigeringsbehandling av deler av underdomener), noe som førte til at duplikater ble lagt til i ANSWER-delen. Utnyttelse av sårbarheten på autoritative DNS-servere krever endringer i de behandlede DNS-sonene, og for rekursive servere kan den problematiske posten fås etter kontakt med den autoritative serveren.
- CVE-2021-25214 – Den navngitte prosessen krasjer ved behandling av en spesiallaget innkommende IXFR-forespørsel (brukes til trinnvis overføring av endringer i DNS-soner mellom DNS-servere). Problemet påvirker kun systemer som har tillatt DNS-soneoverføringer fra angriperens server (vanligvis brukes soneoverføringer til å synkronisere master- og slaveservere og tillates selektivt kun for pålitelige servere). Som en sikkerhetsløsning kan du deaktivere IXFR-støtte ved å bruke "request-ixfr no;"-innstillingen.
Kilde: opennet.ru