BIND DNS سرور 9.11.31 ۽ 9.16.15 جي مستحڪم شاخن لاءِ صحيح تازه ڪاريون شايع ڪيون ويون آهن، انهي سان گڏ تجرباتي برانچ 9.17.12، جيڪا ترقي ۾ آهي. نئين رليز ٽن خطرن کي پتو ڏين ٿيون، جن مان هڪ (CVE-2021-25216) هڪ بفر اوور فلو جو سبب بڻجندي آهي. 32-bit سسٽم تي، خاص طور تي تيار ڪيل GSS-TSIG درخواست موڪلڻ سان حملي ڪندڙ ڪوڊ کي ريموٽ طور تي عمل ڪرڻ لاءِ نقصانڪار استحصال ڪري سگهجي ٿو. 64 سسٽم تي مسئلو نالي واري عمل جي حادثي تائين محدود آهي.
مسئلو صرف تڏهن ظاهر ٿئي ٿو جڏهن GSS-TSIG ميڪانيزم کي فعال ڪيو وڃي، tkey-gssapi-keytab ۽ tkey-gssapi-credential سيٽنگون استعمال ڪندي چالو ڪيو وڃي. GSS-TSIG ڊفالٽ ٺاھ جوڙ ۾ غير فعال آھي ۽ عام طور تي مخلوط ماحول ۾ استعمال ڪيو ويندو آھي جتي BIND کي فعال ڊاريڪٽري ڊومين ڪنٽرولرز سان گڏ ڪيو ويندو آھي، يا جڏھن سامبا سان ضم ٿي ويندو آھي.
نقصان SPNEGO (سادو ۽ محفوظ ٿيل GSSAPI ڳالهين واري ميڪانيزم) جي عمل ۾ غلطي جي ڪري پيدا ٿيو آهي GSSAPI ۾ استعمال ٿيل ڪلائنٽ ۽ سرور پاران استعمال ڪيل تحفظ جي طريقن جي ڳالهين لاءِ. GSSAPI هڪ اعلي سطحي پروٽوڪول جي طور تي استعمال ڪيو ويندو آهي محفوظ اهم مٽاسٽا لاءِ GSS-TSIG توسيع استعمال ڪندي متحرڪ DNS زون اپڊيٽ جي تصديق ڪرڻ جي عمل ۾.
ڇاڪاڻ ته SPNEGO جي بلٽ-ان نفاذ ۾ نازڪ ڪمزوريون اڳ ۾ ئي مليون آهن، هن پروٽوڪول جي نفاذ کي BIND 9 ڪوڊ بيس تان هٽايو ويو آهي. استعمال ڪندڙن لاءِ جن کي SPNEGO سپورٽ جي ضرورت آهي، اها سفارش ڪئي وئي آهي ته GSSAPI پاران مهيا ڪيل هڪ خارجي عمل درآمد استعمال ڪن. سسٽم لائبريري (ايم آئي ٽي ڪربروس ۽ هيمڊل ڪربروس ۾ مهيا ڪيل).
BIND جي پراڻن ورزن جا استعمال ڪندڙ، مسئلي کي بلاڪ ڪرڻ لاءِ ڪم ڪار جي طور تي، سيٽنگن ۾ GSS-TSIG کي غير فعال ڪري سگھن ٿا (اختيارن tkey-gssapi-keytab ۽ tkey-gssapi-credential) يا SPNEGO ميڪانيزم جي مدد کان سواءِ BIND کي ٻيهر ٺاھي سگھو ٿا (اختيار "- -disable-isc-spnego" رسم الخط ۾ "configure"). توھان ھيٺ ڏنل صفحن تي تقسيم ۾ تازه ڪاري جي دستيابي کي ٽريڪ ڪري سگھو ٿا: Debian، SUSE، Ubuntu، Fedora، Arch Linux، FreeBSD، NetBSD. RHEL ۽ ALT لينڪس پيڪيجز بغير SPNEGO جي مدد جي تعمير ڪيا ويا آھن.
اضافي طور تي، سوال ۾ BIND اپڊيٽ ۾ ٻه وڌيڪ خطرات مقرر ڪيا ويا آهن:
- CVE-2021-25215 — نالي وارو عمل تباھ ٿي ويو جڏھن پروسيسنگ DNAME رڪارڊ (ذيلي ڊومينز جي ھڪڙي حصي جي پروسيسنگ کي ريڊريٽ ڪيو)، جنھن جي نتيجي ۾ ANSWER سيڪشن ۾ نقلن جو اضافو ٿيو. مستند DNS سرورز تي ڪمزورين کي استعمال ڪرڻ لاءِ پروسيس ٿيل DNS زونن ۾ تبديليون ڪرڻ جي ضرورت آهي، ۽ ٻيهر ورجائيندڙ سرورز لاءِ، مستند سرور سان رابطو ڪرڻ کان پوءِ مشڪلاتي رڪارڊ حاصل ڪري سگهجي ٿو.
- CVE-2021-25214 - نالي وارو عمل تباه ٿيندو آهي جڏهن پروسيسنگ خاص طور تي تيار ڪيل ايندڙ IXFR درخواست (DNS سرورز جي وچ ۾ DNS زونن ۾ وڌندڙ تبديلين کي منتقل ڪرڻ لاءِ استعمال ڪيو ويندو آهي). مسئلو صرف سسٽم کي متاثر ڪري ٿو جن کي حملي ڪندڙ جي سرور مان DNS زون جي منتقلي جي اجازت ڏني وئي آهي (عام طور تي زون جي منتقلي ماسٽر ۽ غلام سرورز کي هم وقت سازي ڪرڻ لاء استعمال ڪيو ويندو آهي ۽ چونڊيل طور تي صرف قابل اعتماد سرورز لاء اجازت ڏني وئي آهي). حفاظتي ڪم جي طور تي، توهان "request-ixfr no؛" سيٽنگ استعمال ڪندي IXFR سپورٽ کي بند ڪري سگھو ٿا.
جو ذريعو: opennet.ru