Masasisho ya kurekebisha yamechapishwa kwa matawi thabiti ya seva ya BIND DNS 9.11.31 na 9.16.15, pamoja na tawi la majaribio 9.17.12, ambalo linatengenezwa. Matoleo mapya yanashughulikia athari tatu, moja ambayo (CVE-2021-25216) husababisha kufurika kwa bafa. Kwenye mifumo ya 32-bit, athari inaweza kutumika kutekeleza msimbo wa mshambulizi kwa mbali kwa kutuma ombi lililoundwa mahususi la GSS-TSIG. Kwenye mifumo 64 tatizo ni mdogo kwa ajali ya mchakato uliotajwa.
Tatizo linaonekana tu wakati utaratibu wa GSS-TSIG umewezeshwa, umeamilishwa kwa kutumia tkey-gssapi-keytab na mipangilio ya kitambulisho cha tkey-gssapi. GSS-TSIG imezimwa katika usanidi chaguo-msingi na kwa kawaida hutumiwa katika mazingira mchanganyiko ambapo BIND imeunganishwa na vidhibiti vya Active Directory, au inapounganishwa na Samba.
Athari hii inasababishwa na hitilafu katika utekelezaji wa utaratibu wa SPNEGO (Mfumo Rahisi na Uliyolindwa wa GSSAPI), unaotumiwa katika GSSAPI kujadili mbinu za ulinzi zinazotumiwa na mteja na seva. GSSAPI inatumika kama itifaki ya kiwango cha juu ya kubadilishana vitufe salama kwa kutumia kiendelezi cha GSS-TSIG kinachotumika katika mchakato wa kuthibitisha masasisho ya eneo la DNS.
Kwa sababu udhaifu mkubwa katika utekelezaji uliojumuishwa wa SPNEGO umepatikana hapo awali, utekelezaji wa itifaki hii umeondolewa kwenye msingi wa msimbo wa BIND 9. Kwa watumiaji wanaohitaji usaidizi wa SPNEGO, inashauriwa kutumia utekelezaji wa nje unaotolewa na GSSAPI. maktaba ya mfumo (iliyotolewa katika MIT Kerberos na Heimdal Kerberos).
Watumiaji wa matoleo ya zamani ya BIND, kama suluhisho la kuzuia tatizo, wanaweza kuzima GSS-TSIG katika mipangilio (chaguo tkey-gssapi-keytab na tkey-gssapi-credential) au kujenga upya BIND bila msaada wa utaratibu wa SPNEGO (chaguo "- -lemaza-isc-spnego" katika hati "sanidi"). Unaweza kufuatilia upatikanaji wa masasisho katika usambazaji kwenye kurasa zifuatazo: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Vifurushi vya RHEL na ALT Linux hujengwa bila usaidizi asilia wa SPNEGO.
Zaidi ya hayo, athari mbili zaidi zimerekebishwa katika masasisho ya BIND yanayohusika:
- CVE-2021-25215 - mchakato uliopewa jina ulianguka wakati wa kuchakata rekodi za DNAME (kuelekeza upya usindikaji wa sehemu ya vikoa vidogo), na kusababisha kuongezwa kwa nakala kwenye sehemu ya JIBU. Kutumia athari kwenye seva zinazoidhinishwa za DNS kunahitaji kufanya mabadiliko kwenye kanda za DNS zilizochakatwa, na kwa seva zinazojirudia, rekodi ya shida inaweza kupatikana baada ya kuwasiliana na seva inayoidhinishwa.
- CVE-2021-25214 - Mchakato uliopewa jina huacha kufanya kazi wakati wa kuchakata ombi maalum linaloingia la IXFR (hutumika kuhamisha mabadiliko katika maeneo ya DNS kati ya seva za DNS). Tatizo linaathiri tu mifumo ambayo imeruhusu uhamishaji wa eneo la DNS kutoka kwa seva ya mshambulizi (kwa kawaida uhamishaji wa eneo hutumiwa kusawazisha seva kuu na watumwa na huruhusiwa kwa seva zinazoaminika pekee). Kama suluhisho la usalama, unaweza kulemaza usaidizi wa IXFR kwa kutumia mpangilio wa "ombi-ixfr no;".
Chanzo: opennet.ru