BIND DNS සේවාදායකයේ 9.11.31 සහ 9.16.15 හි ස්ථාවර ශාඛා සඳහා මෙන්ම සංවර්ධනය වෙමින් පවතින පර්යේෂණාත්මක ශාඛා 9.17.12 සඳහා නිවැරදි යාවත්කාලීන කිරීම් ප්රකාශයට පත් කර ඇත. නව නිකුතු දුර්වලතා තුනක් ආමන්ත්රණය කරයි, ඉන් එකක් (CVE-2021-25216) බෆරය පිටාර ගැලීමට හේතු වේ. 32-bit පද්ධති මත, විශේෂයෙන් සකස් කරන ලද GSS-TSIG ඉල්ලීමක් යැවීමෙන් ප්රහාරකයාගේ කේතය දුරස්ථව ක්රියාත්මක කිරීමට අවදානම් ප්රයෝජනයට ගත හැක. පද්ධති 64 කදී ගැටළුව නම් කරන ලද ක්රියාවලිය බිඳ වැටීමට සීමා වේ.
ගැටළුව දිස්වන්නේ GSS-TSIG යාන්ත්රණය සක්රීය කර, tkey-gssapi-keytab සහ tkey-gssapi-credential සැකසුම් භාවිතයෙන් සක්රිය කර ඇති විට පමණි. GSS-TSIG පෙරනිමි වින්යාසය තුළ අක්රිය කර ඇති අතර සාමාන්යයෙන් BIND සක්රීය නාමාවලි ඩොමේන් පාලකයන් සමඟ ඒකාබද්ධ කර ඇති මිශ්ර පරිසරවල හෝ Samba සමඟ ඒකාබද්ධ වන විට භාවිතා වේ.
සේවාදායකයා සහ සේවාදායකයා විසින් භාවිතා කරන ආරක්ෂණ ක්රම සාකච්ඡා කිරීම සඳහා GSSAPI හි භාවිතා කරන SPNEGO (සරල සහ ආරක්ෂිත GSSAPI සාකච්ඡා යාන්ත්රණය) යාන්ත්රණය ක්රියාත්මක කිරීමේ දෝෂයක් හේතුවෙන් මෙම අවදානම ඇතිවේ. GSSAPI ගතික DNS කලාප යාවත්කාලීන කිරීම් සත්යාපනය කිරීමේ ක්රියාවලියේදී භාවිතා කරන GSS-TSIG දිගුව භාවිතා කරමින් ආරක්ෂිත යතුරු හුවමාරුව සඳහා ඉහළ මට්ටමේ ප්රොටෝකෝලයක් ලෙස භාවිතා කරයි.
SPNEGO හි අන්තර්ගත ක්රියාත්මක කිරීමේ තීරණාත්මක දුර්වලතා කලින් සොයාගෙන ඇති නිසා, මෙම ප්රොටෝකෝලය ක්රියාත්මක කිරීම BIND 9 කේත පදනමෙන් ඉවත් කර ඇත. SPNEGO සහය අවශ්ය පරිශීලකයින් සඳහා, GSSAPI මඟින් සපයන බාහිර ක්රියාත්මක කිරීමක් භාවිතා කිරීම නිර්දේශ කෙරේ. පද්ධති පුස්තකාලය (MIT Kerberos සහ Heimdal Kerberos හි සපයා ඇත).
BIND හි පැරණි අනුවාද භාවිතා කරන්නන්ට, ගැටළුව අවහිර කිරීම සඳහා පිළියමක් ලෙස, GSS-TSIG සැකසීම් තුළ අබල කළ හැකිය (විකල්ප tkey-gssapi-keytab සහ tkey-gssapi-credential) හෝ SPNEGO යාන්ත්රණය සඳහා සහය නොමැතිව BIND නැවත ගොඩනැංවීම (විකල්පය "- -disable-isc-spnego" script "configure" හි). ඔබට පහත පිටුවල බෙදාහැරීම්වල ඇති යාවත්කාලීනයන් නිරීක්ෂණය කළ හැක: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL සහ ALT Linux පැකේජ දේශීය SPNEGO සහාය නොමැතිව ගොඩනගා ඇත.
මීට අමතරව, සැක සහිත BIND යාවත්කාලීනයන් තුළ තවත් දුර්වලතා දෙකක් සවි කර ඇත:
- CVE-2021-25215 — DNAME වාර්තා සැකසීමේදී නම් කරන ලද ක්රියාවලිය බිඳ වැටුණි (උප ඩොමේනවල කොටසක් නැවත හරවා යැවීම), පිළිතුරු කොටස වෙත අනුපිටපත් එකතු කිරීමට හේතු වේ. බලයලත් DNS සේවාදායකයන් මත ඇති දුර්වලතාවය ප්රයෝජනයට ගැනීම සඳහා සැකසූ DNS කලාපවල වෙනස්කම් සිදු කිරීම අවශ්ය වන අතර, ප්රත්යාවර්තී සේවාදායකයන් සඳහා, බලයලත් සේවාදායකය ඇමතීමෙන් පසු ගැටලුකාරී වාර්තාව ලබා ගත හැක.
- CVE-2021-25214 - විශේෂයෙන් සකස් කරන ලද පැමිණෙන IXFR ඉල්ලීමක් සැකසීමේදී නම් කරන ලද ක්රියාවලිය බිඳ වැටේ (DNS සේවාදායක අතර DNS කලාපවල වෙනස්කම් වර්ධක ලෙස මාරු කිරීමට භාවිතා කරයි). ගැටලුව බලපාන්නේ ප්රහාරකයාගේ සේවාදායකයෙන් DNS කලාප මාරු කිරීමට ඉඩ දී ඇති පද්ධතිවලට පමණි (සාමාන්යයෙන් කලාප මාරු කිරීම් ප්රධාන සහ වහල් සේවාදායකයන් සමමුහුර්ත කිරීමට භාවිතා කරන අතර විශ්වාසදායක සේවාදායකයන් සඳහා පමණක් තෝරා ගැනීමට ඉඩ දෙනු ලැබේ). ආරක්ෂක ක්රියාමාර්ගයක් ලෙස, ඔබට “request-ixfr no;” සැකසුම භාවිතයෙන් IXFR සහාය අක්රිය කළ හැක.
මූලාශ්රය: opennet.ru