Pembaruan korektif parantos diterbitkeun pikeun cabang stabil tina server BIND DNS 9.11.31 sareng 9.16.15, ogé cabang ékspérimén 9.17.12, anu aya dina pangwangunan. Kaluaran anyar alamat tilu kerentanan, salah sahijina (CVE-2021-25216) ngabalukarkeun panyangga mudal. Dina sistem 32-bit, kerentanan tiasa dimanfaatkeun pikeun ngaéksekusi kodeu panyerang ku cara ngirim pamundut GSS-TSIG anu didamel khusus. Dina 64 sistem masalahna dugi ka kacilakaan tina prosés anu namina.
Masalahna ngan muncul nalika mékanisme GSS-TSIG diaktipkeun, diaktipkeun maké tkey-gssapi-keytab jeung tkey-gssapi-kapercayaan setelan. GSS-TSIG ditumpurkeun dina konfigurasi standar sarta ilaharna dipaké dina lingkungan campuran dimana ngabeungkeut digabungkeun jeung Active Directory domain controllers, atawa nalika ngahijikeun jeung Samba.
Kerentanan disababkeun ku kasalahan dina palaksanaan mékanisme SPNEGO (Basajan jeung Ditangtayungan GSSAPI Negotiation Mékanisme), dipaké dina GSSAPI negotiate métode panyalindungan dipaké ku klien tur server. GSSAPI dipaké salaku protokol tingkat luhur pikeun bursa konci aman ngagunakeun extension GSS-TSIG dipaké dina prosés auténtikasi apdet zona DNS dinamis.
Kusabab kerentanan kritis dina palaksanaan diwangun-di SPNEGO geus kapanggih saméméhna, palaksanaan protokol ieu geus dihapus tina dasar kode ngabeungkeut 9. Pikeun pamaké anu merlukeun rojongan SPNEGO, eta disarankeun pikeun ngagunakeun hiji palaksanaan éksternal disadiakeun ku GSSAPI. perpustakaan sistem (disadiakeun dina MIT Kerberos na Heimdal Kerberos).
Pamaké versi heubeul tina BIND, salaku workaround pikeun blocking masalah, bisa nganonaktipkeun GSS-TSIG dina setélan (pilihan tkey-gssapi-keytab jeung tkey-gssapi-credential) atawa ngawangun deui BIND tanpa rojongan pikeun mékanisme SPNEGO (pilihan "- -disable-isc-spnego" dina naskah "konpigurasikeun"). Anjeun tiasa ngalacak kasadiaan apdet dina distribusi dina halaman ieu: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Paket RHEL sareng ALT Linux diwangun tanpa dukungan SPNEGO asli.
Salaku tambahan, dua deui kerentanan dibereskeun dina apdet BIND anu ditaroskeun:
- CVE-2021-25215 — prosés anu dingaranan nabrak nalika ngolah rékaman DNAME (ngolah alihan bagian tina subdomains), ngarah kana tambahan duplikat kana bagian JAWABAN. Ngamangpaatkeun kerentanan dina server DNS otoritatif merlukeun parobihan kana zona DNS anu diolah, sareng pikeun server rekursif, catetan masalah tiasa didapet saatos ngahubungi server otoritatif.
- CVE-2021-25214 - Prosés anu namina ngadat nalika ngolah pamundut IXFR anu didamel khusus (dipaké pikeun mindahkeun parobahan dina zona DNS antara server DNS). Masalahna mangaruhan ukur sistem anu ngamungkinkeun mindahkeun zona DNS tina server panyerang (biasana transfer zona dianggo pikeun nyingkronkeun server master sareng budak sareng sacara selektif diidinan ngan pikeun server anu dipercaya). Salaku workaround kaamanan, anjeun tiasa nganonaktipkeun dukungan IXFR nganggo setélan "request-ixfr no;".
sumber: opennet.ru