Au fost publicate actualizări corective pentru ramurile stabile ale serverului BIND DNS 9.11.31 și 9.16.15, precum și ramura experimentală 9.17.12, care este în dezvoltare. Noile versiuni abordează trei vulnerabilități, dintre care una (CVE-2021-25216) provoacă o depășire a tamponului. Pe sistemele pe 32 de biți, vulnerabilitatea poate fi exploatată pentru a executa de la distanță codul unui atacator prin trimiterea unei cereri GSS-TSIG special concepute. Pe sistemele 64 problema se limitează la blocarea procesului numit.
Problema apare doar atunci când mecanismul GSS-TSIG este activat, activat folosind setările tkey-gssapi-keytab și tkey-gssapi-credential. GSS-TSIG este dezactivat în configurația implicită și este utilizat de obicei în medii mixte în care BIND este combinat cu controlere de domeniu Active Directory sau când se integrează cu Samba.
Vulnerabilitatea este cauzată de o eroare în implementarea mecanismului SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) utilizat în GSSAPI pentru a negocia metodele de protecție utilizate de client și server. GSSAPI este utilizat ca protocol de nivel înalt pentru schimbul securizat de chei folosind extensia GSS-TSIG utilizată în procesul de autentificare a actualizărilor dinamice ale zonei DNS.
Deoarece vulnerabilități critice în implementarea încorporată a SPNEGO au fost găsite anterior, implementarea acestui protocol a fost eliminată din baza de cod BIND 9. Pentru utilizatorii care necesită suport SPNEGO, se recomandă utilizarea unei implementări externe furnizate de GSSAPI. bibliotecă de sistem (furnizată în MIT Kerberos și Heimdal Kerberos).
Utilizatorii versiunilor mai vechi de BIND, ca o soluție pentru blocarea problemei, pot dezactiva GSS-TSIG în setări (opțiunile tkey-gssapi-keytab și tkey-gssapi-credential) sau pot reconstrui BIND fără suport pentru mecanismul SPNEGO (opțiunea „- -disable-isc-spnego" în scriptul "configure"). Puteți urmări disponibilitatea actualizărilor în distribuții pe următoarele pagini: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Pachetele RHEL și ALT Linux sunt construite fără suport SPNEGO nativ.
În plus, încă două vulnerabilități sunt remediate în actualizările BIND în cauză:
- CVE-2021-25215 — procesul numit s-a blocat la procesarea înregistrărilor DNAME (prelucrarea redirecționării unei părți a subdomeniilor), ducând la adăugarea de duplicate la secțiunea RĂSPUNS. Exploatarea vulnerabilității pe serverele DNS autorizate necesită modificarea zonelor DNS procesate, iar pentru serverele recursive, înregistrarea problematică poate fi obținută după contactarea serverului autorizat.
- CVE-2021-25214 – Procesul numit se blochează atunci când procesează o solicitare IXFR de intrare special concepută (folosită pentru a transfera progresiv modificările din zonele DNS între serverele DNS). Problema afectează doar sistemele care au permis transferuri de zone DNS de la serverul atacatorului (de obicei, transferurile de zonă sunt folosite pentru a sincroniza serverele master și slave și sunt permise selectiv doar pentru serverele de încredere). Ca o soluție de securitate, puteți dezactiva suportul IXFR utilizând setarea „request-ixfr no;”.
Sursa: opennet.ru