Korrigerande uppdateringar har publicerats för de stabila grenarna av BIND DNS-servern 9.11.31 och 9.16.15, samt den experimentella grenen 9.17.12, som är under utveckling. De nya utgåvorna åtgärdar tre sårbarheter, varav en (CVE-2021-25216) orsakar ett buffertspill. På 32-bitarssystem kan sårbarheten utnyttjas för att fjärrexekvera en angripares kod genom att skicka en specialgjord GSS-TSIG-förfrågan. På 64 system är problemet begränsat till kraschen för den namngivna processen.
Problemet dyker bara upp när GSS-TSIG-mekanismen är aktiverad, aktiverad med inställningarna tkey-gssapi-keytab och tkey-gssapi-credential. GSS-TSIG är inaktiverat i standardkonfigurationen och används vanligtvis i blandade miljöer där BIND kombineras med Active Directory-domänkontrollanter, eller vid integration med Samba.
Sårbarheten orsakas av ett fel i implementeringen av SPNEGO-mekanismen (Simple and Protected GSSAPI Negotiation Mechanism), som används i GSSAPI för att förhandla fram skyddsmetoderna som används av klienten och servern. GSSAPI används som ett högnivåprotokoll för säkert nyckelutbyte med GSS-TSIG-tillägget som används i processen för autentisering av dynamiska DNS-zonuppdateringar.
Eftersom kritiska sårbarheter i den inbyggda implementeringen av SPNEGO har hittats tidigare, har implementeringen av detta protokoll tagits bort från kodbasen BIND 9. För användare som behöver SPNEGO-stöd rekommenderas att använda en extern implementering som tillhandahålls av GSSAPI systembibliotek (tillhandahålls i MIT Kerberos och Heimdal Kerberos).
Användare av äldre versioner av BIND, som en lösning för att blockera problemet, kan inaktivera GSS-TSIG i inställningarna (alternativ tkey-gssapi-keytab och tkey-gssapi-credential) eller bygga om BIND utan stöd för SPNEGO-mekanismen (alternativ "- -disable-isc-spnego" i skriptet "konfigurera"). Du kan spåra tillgängligheten för uppdateringar i distributioner på följande sidor: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL och ALT Linux-paket är byggda utan inbyggt SPNEGO-stöd.
Dessutom har ytterligare två sårbarheter åtgärdats i de aktuella BIND-uppdateringarna:
- CVE-2021-25215 — den namngivna processen kraschade vid bearbetning av DNAME-poster (omdirigeringsbearbetning av en del av underdomäner), vilket ledde till att dubbletter lades till i ANSWER-sektionen. Att utnyttja sårbarheten på auktoritativa DNS-servrar kräver att man gör ändringar i de behandlade DNS-zonerna, och för rekursiva servrar kan den problematiska posten erhållas efter kontakt med den auktoritativa servern.
- CVE-2021-25214 – Den namngivna processen kraschar när en specialgjord inkommande IXFR-begäran bearbetas (används för att stegvis överföra ändringar i DNS-zoner mellan DNS-servrar). Problemet påverkar endast system som har tillåtit DNS-zonöverföringar från angriparens server (vanligtvis används zonöverföringar för att synkronisera master- och slavservrar och är selektivt tillåtna endast för pålitliga servrar). Som en säkerhetslösning kan du inaktivera IXFR-stöd med inställningen "request-ixfr no;".
Källa: opennet.ru