د BIND DNS سرور 9.11.31 او 9.16.15 مستحکم څانګو لپاره اصلاحي تازه معلومات خپاره شوي، او همدارنګه د تجربوي څانګې 9.17.12، چې د پراختیا په حال کې دي. نوې ریلیزونه درې زیانمننې په ګوته کوي، چې یو یې (CVE-2021-25216) د بفر د ډیریدو لامل کیږي. په 32-bit سیسټمونو کې، زیانمنونکي د ځانګړي جوړ شوي GSS-TSIG غوښتنې په لیږلو سره د برید کونکي کوډ په لیرې توګه اجرا کولو لپاره کارول کیدی شي. په 64 سیسټمونو کې ستونزه د نوم شوي پروسې حادثې پورې محدوده ده.
ستونزه یوازې هغه وخت څرګندیږي کله چې د GSS-TSIG میکانیزم فعال وي، د tkey-gssapi-keytab او tkey-gssapi-credential ترتیباتو په کارولو سره فعال شي. GSS-TSIG په ډیفالټ ترتیب کې غیر فعال شوی او معمولا په مخلوط چاپیریال کې کارول کیږي چیرې چې BIND د فعال لارښود ډومین کنټرولرونو سره یوځای کیږي ، یا کله چې د سامبا سره مدغم کیږي.
زیانمنتیا د SPNEGO (د ساده او محافظت شوي GSSAPI خبرو اترو میکانیزم) په پلي کولو کې د یوې غلطۍ له امله رامینځته کیږي چې په GSSAPI کې د پیرودونکي او سرور لخوا کارول شوي محافظت میتودونو خبرې اترې کولو لپاره کارول کیږي. GSSAPI د GSS-TSIG توسیع په کارولو سره د خوندي کلیدي تبادلې لپاره د لوړې کچې پروتوکول په توګه کارول کیږي چې د متحرک DNS زون تازه معلوماتو تصدیق کولو پروسې کې کارول کیږي.
ځکه چې د SPNEGO په جوړ شوي پلي کولو کې جدي زیانونه مخکې موندل شوي، د دې پروتوکول پلي کول د BIND 9 کوډ بیس څخه لیرې شوي. د هغو کاروونکو لپاره چې د SPNEGO ملاتړ ته اړتیا لري، دا سپارښتنه کیږي چې د GSSAPI لخوا چمتو شوي بهرني پلي کولو څخه کار واخلي. د سیسټم کتابتون (په MIT Kerberos او Heimdal Kerberos کې چمتو شوی).
د BIND د زړو نسخو کارونکي، د ستونزې د بندولو لپاره د حل په توګه، کولی شي GSS-TSIG په ترتیباتو کې غیر فعال کړي (اختیارونه tkey-gssapi-keytab او tkey-gssapi-credential) یا د SPNEGO میکانیزم ملاتړ پرته BIND بیا جوړ کړي (اختیار "- په سکریپټ کې "تنظیم" کې غیر فعال-isc-spnego). تاسو کولی شئ په لاندې پاڼو کې په توزیع کې د تازه معلوماتو شتون تعقیب کړئ: Debian، SUSE، Ubuntu، Fedora، Arch Linux، FreeBSD، NetBSD. RHEL او ALT لینکس کڅوړې د اصلي SPNEGO ملاتړ پرته جوړ شوي.
برسیره پردې، دوه نور زیانمنتیاوې د پوښتنې په BIND تازه معلوماتو کې ټاکل شوي:
- CVE-2021-25215 - نومول شوی پروسه د DNAME ریکارډونو پروسس کولو پر مهال خرابه شوه (د فرعي ډومینونو برخې ته ریډیریټ پروسس کول) چې د ځواب برخې ته د نقلونو اضافه کولو لامل کیږي. په مستند DNS سرورونو کې د زیانونو څخه ګټه پورته کول د پروسس شوي DNS زونونو کې بدلونونو ته اړتیا لري، او د تکراري سرورونو لپاره، ستونزمن ریکارډ د مستند سرور سره اړیکه نیولو وروسته ترلاسه کیدی شي.
- CVE-2021-25214 - نومول شوی پروسه هغه وخت خرابیږي کله چې په ځانګړي ډول جوړ شوي راتلونکي IXFR غوښتنې پروسس کوي (د DNS سرورونو ترمینځ د DNS زونونو کې د بدلونونو لیږد لپاره کارول کیږي). ستونزه یوازې هغه سیسټمونه اغیزه کوي چې د برید کونکي سرور څخه د DNS زون لیږد ته اجازه ورکوي (معمولا د زون لیږد د ماسټر او غلام سرورونو همغږي کولو لپاره کارول کیږي او یوازې د باور وړ سرورونو لپاره په غوره توګه اجازه ورکول کیږي). د امنیتي حل په توګه، تاسو کولی شئ د "request-ixfr no؛" ترتیب په کارولو سره د IXFR ملاتړ غیر فعال کړئ.
سرچینه: opennet.ru