Објављене су корективне исправке за стабилне гране БИНД ДНС сервера 9.11.31 и 9.16.15, као и за експерименталну грану 9.17.12 која је у развоју. Нова издања се баве три рањивости, од којих једна (ЦВЕ-2021-25216) узрокује преливање бафера. На 32-битним системима, рањивост се може искористити за даљинско извршавање нападачевог кода слањем посебно креираног ГСС-ТСИГ захтева. На 64 система проблем је ограничен на пад именованог процеса.
Проблем се појављује само када је механизам ГСС-ТСИГ омогућен, активиран помоћу подешавања кеи-гссапи-кеитаб и ткеи-гссапи-цредентиал. ГСС-ТСИГ је онемогућен у подразумеваној конфигурацији и обично се користи у мешовитим окружењима где је БИНД комбинован са Ацтиве Дирецтори доменским контролерима или када се интегрише са Самбом.
Рањивост је узрокована грешком у имплементацији СПНЕГО (Симпле анд Протецтед ГССАПИ Неготиатион Мецханисм) механизма који се користи у ГССАПИ за преговарање о методама заштите које користе клијент и сервер. ГССАПИ се користи као протокол високог нивоа за безбедну размену кључева користећи ГСС-ТСИГ екстензију која се користи у процесу аутентификације ажурирања динамичких ДНС зона.
Пошто су раније пронађене критичне рањивости у уграђеној имплементацији СПНЕГО-а, имплементација овог протокола је уклоњена из базе кодова БИНД 9. За кориснике којима је потребна СПНЕГО подршка, препоручује се коришћење екстерне имплементације коју обезбеђује ГССАПИ системска библиотека (обезбеђена у МИТ Керберос и Хеимдал Керберос).
Корисници старијих верзија БИНД-а, као решење за блокирање проблема, могу да онемогуће ГСС-ТСИГ у подешавањима (опције ткеи-гссапи-кеитаб и ткеи-гссапи-цредентиал) или да поново направе БИНД без подршке за СПНЕГО механизам (опција "- -дисабле-исц-спнего" у скрипти "цонфигуре"). Доступност ажурирања у дистрибуцијама можете пратити на следећим страницама: Дебиан, СУСЕ, Убунту, Федора, Арцх Линук, ФрееБСД, НетБСД. РХЕЛ и АЛТ Линук пакети су направљени без изворне подршке за СПНЕГО.
Поред тога, још две рањивости су поправљене у дотичним ажурирањима БИНД-а:
- ЦВЕ-2021-25215 — именовани процес је пао приликом обраде ДНАМЕ записа (преусмеравање обраде дела поддомена), што је довело до додавања дупликата у одељак ОДГОВОРИ. Искоришћавање рањивости на ауторитативним ДНС серверима захтева уношење промена у обрађене ДНС зоне, а за рекурзивне сервере, проблематични запис се може добити након контактирања ауторитативног сервера.
- ЦВЕ-2021-25214 – Именовани процес пада приликом обраде посебно креираног долазног ИКСФР захтева (користи се за постепени пренос промена у ДНС зонама између ДНС сервера). Проблем утиче само на системе који су дозволили пренос ДНС зона са нападачевог сервера (обично се пренос зона користи за синхронизацију главног и подређеног сервера и селективно је дозвољен само за сервере од поверења). Као безбедносно решење, можете да онемогућите подршку за ИКСФР користећи поставку „рекуест-икфр но;“.
Извор: опеннет.ру