BIND DNS سرور جي مستحڪم شاخن، 9.11.31 ۽ 9.16.15، ۽ تجرباتي 9.17.12 برانچ لاءِ اصلاحي اپڊيٽ جاري ڪيا ويا آهن، جيڪي هن وقت ترقي ۾ آهن. نئين رليز ٽن ڪمزورين کي درست ڪري ٿي، جن مان هڪ (CVE-2021-25216) بفر اوور فلو جو نتيجو آهي. 32-بٽ سسٽم تي، هن ڪمزوري کي خاص طور تي تيار ڪيل GSS-TSIG درخواست موڪلي ريموٽ ڪوڊ کي عمل ڪرڻ لاءِ استعمال ڪري سگهجي ٿو. 64-بٽ سسٽم تي، مسئلو نالي واري عمل جي حادثي تائين محدود آهي.
مسئلو صرف تڏهن پيدا ٿئي ٿو جڏهن GSS-TSIG فعال هجي، جيڪو tkey-gssapi-keytab ۽ tkey-gssapi-credencial سيٽنگز استعمال ڪندي چالو ڪيو ويندو آهي. GSS-TSIG ڊفالٽ ترتيب ۾ غير فعال آهي ۽ عام طور تي مخلوط ماحول ۾ استعمال ٿيندو آهي جتي BIND کي ايڪٽو ڊاريڪٽري ڊومين ڪنٽرولرز سان گڏ ڪيو ويندو آهي، يا جڏهن سامبا سان ضم ڪيو ويندو آهي.
هي ڪمزوري SPNEGO (سادي ۽ محفوظ GSSAPI ڳالهين جي ميڪانيزم) جي عمل درآمد ۾ هڪ غلطي جي ڪري پيدا ٿئي ٿي، جيڪو GSSAPI ۾ ڪلائنٽ پاران استعمال ٿيندڙ پروٽوڪول تي ڳالهين ڪرڻ لاءِ استعمال ڪيو ويندو آهي ۽ سرور سيڪيورٽي طريقا. GSSAPI کي GSS-TSIG ايڪسٽينشن استعمال ڪندي محفوظ ڪي ايڪسچينج لاءِ هڪ اعليٰ سطحي پروٽوڪول طور استعمال ڪيو ويندو آهي، جيڪو متحرڪ DNS زون اپڊيٽس جي صداقت جي تصديق جي عمل ۾ استعمال ٿيندو آهي.
ڇاڪاڻ ته بلٽ ان SPNEGO عملدرآمد ۾ نازڪ ڪمزورين جي سڃاڻپ اڳ ۾ ڪئي وئي آهي، هن پروٽوڪول جي عملدرآمد کي BIND 9 ڪوڊ بيس مان هٽايو ويو آهي. جن صارفين کي SPNEGO سپورٽ جي ضرورت آهي انهن کي GSSAPI سسٽم لائبريري (MIT Kerberos ۽ Heimdal Kerberos ۾ مهيا ڪيل) پاران مهيا ڪيل ٻاهرين عملدرآمد کي استعمال ڪرڻ جي صلاح ڏني وئي آهي.
حل جي طور تي، پراڻن BIND ورزن جا استعمال ڪندڙ سيٽنگن ۾ GSS-TSIG کي غير فعال ڪري سگھن ٿا (tkey-gssapi-keytab ۽ tkey-gssapi-credential parameters) يا SPNEGO سپورٽ کان سواءِ BIND کي ٻيهر مرتب ڪري سگھن ٿا ("configure" اسڪرپٽ ۾ "--disable-isc-spnego" آپشن). توھان ھيٺ ڏنل صفحن تي پنھنجي تقسيم لاءِ اپڊيٽس کي ٽريڪ ڪري سگھو ٿا: Debian، سوس، Ubuntu، فيڊورا، آرچ Linux، فري بي ايس ڊي، نيٽ بي ايس ڊي. آر ايڇ اي ايل ۽ اي ايل ٽي پيڪيجز Linux بلٽ ان SPNEGO سپورٽ کان سواءِ مرتب ڪيل آهن.
اضافي طور تي، غور هيٺ BIND اپڊيٽس ۾ ٻه وڌيڪ ڪمزوريون درست ڪيون ويون:
- CVE-2021-25215 — نالي وارو عمل DNAME ريڪارڊز (ڪجهه ذيلي ڊومينز جي ريڊائريڪٽ پروسيسنگ) کي پروسيس ڪرڻ دوران ڪريش ٿي ويو، جنهن جي نتيجي ۾ نقل جواب سيڪشن ۾ شامل ڪيا ويا. مستند DNS سرورز تي ڪمزوري کي استعمال ڪرڻ لاءِ پروسيس ٿيل DNS زونز ۾ تبديلين جي ضرورت آهي، ۽ ريڪرسيو وارن لاءِ. سرور مسئلو وارو رڪارڊ بااختيار سرور سان رابطو ڪندي حاصل ڪري سگهجي ٿو.
- CVE-2021-25214 — نالي وارو عمل خاص طور تي تيار ڪيل ايندڙ IXFR درخواست (DNS سرورز جي وچ ۾ DNS زون تبديلين جي وڌندڙ منتقلي لاءِ استعمال ڪيو ويندو آهي) کي پروسيس ڪرڻ دوران ڪريش ٿي ويو. هي ڪمزوري صرف انهن سسٽم کي متاثر ڪري ٿي جن حملي آور جي سرور کان DNS زون منتقلي کي فعال ڪيو آهي (زون منتقلي عام طور تي ماسٽر ۽ غلام سرورز کي هم وقت سازي ڪرڻ لاءِ استعمال ٿينديون آهن ۽ چونڊيل طور تي صرف قابل اعتماد سرورز لاءِ فعال هونديون آهن). حل جي طور تي، IXFR سپورٽ کي "درخواست-ixfr no;" سيٽنگ استعمال ڪندي غير فعال ڪري سگهجي ٿو.
جو ذريعو: opennet.ru
