Opravné aktualizácie boli zverejnené pre stabilné vetvy servera BIND DNS 9.11.31 a 9.16.15, ako aj pre experimentálnu vetvu 9.17.12, ktorá je vo vývoji. Nové vydania riešia tri chyby zabezpečenia, z ktorých jedna (CVE-2021-25216) spôsobuje pretečenie vyrovnávacej pamäte. Na 32-bitových systémoch možno túto zraniteľnosť zneužiť na vzdialené spustenie kódu útočníka odoslaním špeciálne pripravenej požiadavky GSS-TSIG. Na 64 systémoch je problém obmedzený na zlyhanie pomenovaného procesu.
Problém sa objaví iba vtedy, keď je povolený mechanizmus GSS-TSIG aktivovaný pomocou nastavení tkey-gssapi-keytab a tkey-gssapi-credential. GSS-TSIG je v predvolenej konfigurácii vypnutý a zvyčajne sa používa v zmiešaných prostrediach, kde je BIND kombinovaný s radičmi domény Active Directory, alebo pri integrácii so Sambou.
Zraniteľnosť je spôsobená chybou v implementácii mechanizmu SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), ktorý sa používa v GSSAPI na vyjednávanie metód ochrany používaných klientom a serverom. GSSAPI sa používa ako vysokoúrovňový protokol na zabezpečenú výmenu kľúčov pomocou rozšírenia GSS-TSIG používaného v procese overovania dynamických aktualizácií zón DNS.
Pretože kritické zraniteľnosti vo vstavanej implementácii SPNEGO boli nájdené už skôr, implementácia tohto protokolu bola odstránená z kódovej základne BIND 9. Pre používateľov, ktorí vyžadujú podporu SPNEGO, sa odporúča použiť externú implementáciu poskytovanú GSSAPI systémová knižnica (poskytovaná v MIT Kerberos a Heimdal Kerberos).
Používatelia starších verzií BIND, ako riešenie na zablokovanie problému, môžu zakázať GSS-TSIG v nastaveniach (možnosti tkey-gssapi-keytab a tkey-gssapi-credential) alebo prebudovať BIND bez podpory mechanizmu SPNEGO (možnosť "- -disable-isc-spnego" v skripte "configure"). Dostupnosť aktualizácií v distribúciách môžete sledovať na nasledujúcich stránkach: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Balíky RHEL a ALT Linux sú zostavené bez natívnej podpory SPNEGO.
Okrem toho sú v predmetných aktualizáciách BIND opravené dve ďalšie zraniteľnosti:
- CVE-2021-25215 — menovaný proces zlyhal pri spracovaní záznamov DNAME (presmerovanie časti subdomén), čo viedlo k pridaniu duplikátov do sekcie ANSWER. Využitie zraniteľnosti na autoritatívnych serveroch DNS vyžaduje vykonanie zmien v spracovaných zónach DNS a v prípade rekurzívnych serverov je možné problémový záznam získať po kontaktovaní autoritatívneho servera.
- CVE-2021-25214 – Pomenovaný proces zlyhá pri spracovaní špeciálne vytvorenej prichádzajúcej požiadavky IXFR (používanej na postupný prenos zmien v zónach DNS medzi servermi DNS). Problém sa týka iba systémov, ktoré povolili prenos DNS zón z útočiaceho servera (zvyčajne sa zónové prenosy používajú na synchronizáciu master a slave serverov a sú selektívne povolené len pre dôveryhodné servery). Ako riešenie zabezpečenia môžete zakázať podporu IXFR pomocou nastavenia „request-ixfr no;“.
Zdroj: opennet.ru