Atualizações corretivas foram publicadas para as ramificações estáveis do servidor DNS BIND 9.11.31 e 9.16.15, bem como para a ramificação experimental 9.17.12, que está em desenvolvimento. As novas versões abordam três vulnerabilidades, uma das quais (CVE-2021-25216) causa um buffer overflow. Em sistemas de 32 bits, a vulnerabilidade pode ser explorada para executar remotamente o código de um invasor, enviando uma solicitação GSS-TSIG especialmente criada. Em 64 sistemas o problema está limitado à falha do processo nomeado.
O problema só aparece quando o mecanismo GSS-TSIG está habilitado, ativado através das configurações tkey-gssapi-keytab e tkey-gssapi-credential. O GSS-TSIG está desabilitado na configuração padrão e normalmente é usado em ambientes mistos onde o BIND é combinado com controladores de domínio do Active Directory ou na integração com o Samba.
A vulnerabilidade é causada por um erro na implementação do mecanismo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), utilizado no GSSAPI para negociar os métodos de proteção utilizados pelo cliente e servidor. GSSAPI é usado como um protocolo de alto nível para troca segura de chaves usando a extensão GSS-TSIG usada no processo de autenticação de atualizações dinâmicas de zona DNS.
Como vulnerabilidades críticas na implementação integrada do SPNEGO foram encontradas anteriormente, a implementação deste protocolo foi removida da base de código BIND 9. Para usuários que necessitam de suporte SPNEGO, é recomendado usar uma implementação externa fornecida pelo GSSAPI biblioteca do sistema (fornecida no MIT Kerberos e Heimdal Kerberos).
Usuários de versões mais antigas do BIND, como solução alternativa para bloquear o problema, podem desabilitar o GSS-TSIG nas configurações (opções tkey-gssapi-keytab e tkey-gssapi-credential) ou reconstruir o BIND sem suporte ao mecanismo SPNEGO (opção "- -disable-isc-spnego" no script "configure"). Você pode acompanhar a disponibilidade de atualizações nas distribuições nas seguintes páginas: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Os pacotes RHEL e ALT Linux são construídos sem suporte nativo SPNEGO.
Além disso, mais duas vulnerabilidades foram corrigidas nas atualizações do BIND em questão:
- CVE-2021-25215 — o processo nomeado travou ao processar registros DNAME (processamento de redirecionamento de parte dos subdomínios), levando à adição de duplicatas à seção ANSWER. Explorar a vulnerabilidade em servidores DNS autoritativos requer alterações nas zonas DNS processadas e, para servidores recursivos, o registro problemático pode ser obtido após entrar em contato com o servidor autoritativo.
- CVE-2021-25214 – O processo nomeado falha ao processar uma solicitação IXFR de entrada especialmente criada (usada para transferir de forma incremental alterações em zonas DNS entre servidores DNS). O problema afeta apenas sistemas que permitiram transferências de zona DNS do servidor do invasor (geralmente as transferências de zona são usadas para sincronizar servidores mestre e escravos e são permitidas seletivamente apenas para servidores confiáveis). Como solução alternativa de segurança, você pode desativar o suporte IXFR usando a configuração “request-ixfr no;”.
Fonte: opennet.ru