Përditësimet korrigjuese janë publikuar për degët e qëndrueshme të serverit BIND DNS 9.11.31 dhe 9.16.15, si dhe degën eksperimentale 9.17.12, e cila është në zhvillim e sipër. Publikimet e reja adresojnë tre dobësi, njëra prej të cilave (CVE-2021-25216) shkakton një tejmbushje buferi. Në sistemet 32-bitësh, dobësia mund të shfrytëzohet për të ekzekutuar në distancë kodin e një sulmuesi duke dërguar një kërkesë të krijuar posaçërisht GSS-TSIG. Në 64 sisteme problemi është i kufizuar në prishjen e procesit të përmendur.
Problemi shfaqet vetëm kur aktivizohet mekanizmi GSS-TSIG, i aktivizuar duke përdorur cilësimet tkey-gssapi-keytab dhe tkey-gssapi-kredenciale. GSS-TSIG është i çaktivizuar në konfigurimin e paracaktuar dhe zakonisht përdoret në mjedise të përziera ku BIND kombinohet me kontrollorët e domenit Active Directory ose kur integrohet me Samba.
Dobësia është shkaktuar nga një gabim në zbatimin e mekanizmit SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), i përdorur në GSSAPI për të negociuar metodat e mbrojtjes të përdorura nga klienti dhe serveri. GSSAPI përdoret si një protokoll i nivelit të lartë për shkëmbimin e sigurt të çelësave duke përdorur shtesën GSS-TSIG të përdorur në procesin e vërtetimit të përditësimeve dinamike të zonës DNS.
Për shkak se dobësitë kritike në zbatimin e integruar të SPNEGO janë gjetur më parë, zbatimi i këtij protokolli është hequr nga baza e kodit BIND 9. Për përdoruesit që kërkojnë mbështetje SPNEGO, rekomandohet përdorimi i një zbatimi të jashtëm të ofruar nga GSSAPI biblioteka e sistemit (e ofruar në MIT Kerberos dhe Heimdal Kerberos).
Përdoruesit e versioneve më të vjetra të BIND, si një zgjidhje për bllokimin e problemit, mund të çaktivizojnë GSS-TSIG në cilësimet (opsionet tkey-gssapi-keytab dhe tkey-gssapi-kredenciale) ose të rindërtojnë BIND pa mbështetje për mekanizmin SPNEGO (opsioni "- -disable-isc-spnego" në skriptin "konfiguro"). Mund të gjurmoni disponueshmërinë e përditësimeve në shpërndarjet në faqet e mëposhtme: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Paketat RHEL dhe ALT Linux janë ndërtuar pa mbështetjen vendase SPNEGO.
Për më tepër, dy dobësi të tjera janë rregulluar në përditësimet BIND në fjalë:
- CVE-2021-25215 — procesi i emërtuar u rrëzua gjatë përpunimit të regjistrimeve DNAME (përpunimi i ridrejtuar i një pjese të nëndomaineve), duke çuar në shtimin e dublikatave në seksionin PËRGJIGJE. Shfrytëzimi i cenueshmërisë në serverët autoritativ DNS kërkon të bësh ndryshime në zonat e përpunuara DNS dhe për serverët rekurzivë, regjistrimi problematik mund të merret pasi të kontaktosh serverin autoritar.
- CVE-2021-25214 – Procesi i emërtuar rrëzohet kur përpunohet një kërkesë hyrëse IXFR e krijuar posaçërisht (përdoret për të transferuar në mënyrë graduale ndryshimet në zonat DNS midis serverëve DNS). Problemi prek vetëm sistemet që kanë lejuar transferimet e zonës DNS nga serveri i sulmuesit (zakonisht transferimet e zonës përdoren për të sinkronizuar serverët kryesorë dhe skllav dhe lejohen në mënyrë selektive vetëm për serverët e besueshëm). Si një zgjidhje sigurie, mund të çaktivizoni mbështetjen IXFR duke përdorur cilësimin "kërkesë-ixfr jo;".
Burimi: opennet.ru