BIND DNS சர்வர் 9.11.31 மற்றும் 9.16.15 இன் நிலையான கிளைகளுக்கும், வளர்ச்சியில் உள்ள சோதனைக் கிளை 9.17.12 க்கும் திருத்தமான புதுப்பிப்புகள் வெளியிடப்பட்டுள்ளன. புதிய வெளியீடுகள் மூன்று பாதிப்புகளை நிவர்த்தி செய்கின்றன, அவற்றில் ஒன்று (CVE-2021-25216) இடையக நிரம்பி வழிகிறது. 32-பிட் கணினிகளில், சிறப்பாக வடிவமைக்கப்பட்ட ஜிஎஸ்எஸ்-டிஎஸ்ஐஜி கோரிக்கையை அனுப்புவதன் மூலம், தாக்குபவர்களின் குறியீட்டை தொலைநிலையில் செயல்படுத்த, பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். 64 கணினிகளில், பெயரிடப்பட்ட செயல்முறையின் செயலிழப்புக்கு மட்டுமே சிக்கல் உள்ளது.
tkey-gssapi-keytab மற்றும் tkey-gssapi-credential அமைப்புகளைப் பயன்படுத்தி GSS-TSIG மெக்கானிசம் இயக்கப்பட்டால் மட்டுமே சிக்கல் தோன்றும். GSS-TSIG ஆனது இயல்புநிலை உள்ளமைவில் முடக்கப்பட்டுள்ளது மற்றும் BIND ஆக்டிவ் டைரக்டரி டொமைன் கன்ட்ரோலர்களுடன் இணைந்த கலப்பு சூழல்களில் அல்லது Samba உடன் ஒருங்கிணைக்கும் போது பொதுவாகப் பயன்படுத்தப்படுகிறது.
கிளையன்ட் மற்றும் சர்வர் பயன்படுத்தும் பாதுகாப்பு முறைகளை பேச்சுவார்த்தை நடத்த GSSAPI இல் பயன்படுத்தப்படும் SPNEGO (எளிய மற்றும் பாதுகாக்கப்பட்ட GSSAPI பேச்சுவார்த்தை பொறிமுறை) பொறிமுறையை செயல்படுத்துவதில் ஏற்பட்ட பிழையால் பாதிப்பு ஏற்படுகிறது. டைனமிக் DNS மண்டல புதுப்பிப்புகளை அங்கீகரிக்கும் செயல்பாட்டில் பயன்படுத்தப்படும் GSS-TSIG நீட்டிப்பைப் பயன்படுத்தி பாதுகாப்பான விசை பரிமாற்றத்திற்கான உயர்நிலை நெறிமுறையாக GSSAPI பயன்படுத்தப்படுகிறது.
SPNEGO இன் உள்ளமைக்கப்பட்ட செயலாக்கத்தில் உள்ள முக்கியமான பாதிப்புகள் முன்பே கண்டறியப்பட்டதால், இந்த நெறிமுறையின் செயலாக்கம் BIND 9 குறியீட்டுத் தளத்திலிருந்து அகற்றப்பட்டது. SPNEGO ஆதரவு தேவைப்படும் பயனர்களுக்கு, GSSAPI வழங்கிய வெளிப்புறச் செயலாக்கத்தைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது. கணினி நூலகம் (MIT Kerberos மற்றும் Heimdal Kerberos இல் வழங்கப்படுகிறது).
BIND இன் பழைய பதிப்புகளைப் பயன்படுத்துபவர்கள், சிக்கலைத் தடுப்பதற்கான ஒரு தீர்வாக, GSS-TSIG ஐ அமைப்புகளில் முடக்கலாம் (விருப்பங்கள் tkey-gssapi-keytab மற்றும் tkey-gssapi-credential) அல்லது SPNEGO பொறிமுறையின் ஆதரவு இல்லாமல் BIND ஐ மீண்டும் உருவாக்கலாம் (விருப்பம் "- -disable-isc-spnego" ஸ்கிரிப்ட்டில் "கட்டமைக்கவும்"). Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD ஆகிய பக்கங்களில் விநியோகங்களில் புதுப்பிப்புகள் கிடைப்பதை நீங்கள் கண்காணிக்கலாம். RHEL மற்றும் ALT லினக்ஸ் தொகுப்புகள் சொந்த SPNEGO ஆதரவு இல்லாமல் கட்டமைக்கப்படுகின்றன.
கூடுதலாக, கேள்விக்குரிய BIND புதுப்பிப்புகளில் மேலும் இரண்டு பாதிப்புகள் சரி செய்யப்பட்டுள்ளன:
- CVE-2021-25215 — DNAME பதிவுகளைச் செயலாக்கும் போது பெயரிடப்பட்ட செயல்முறை செயலிழந்தது (துணை டொமைன்களின் ஒரு பகுதியைத் திருப்பியனுப்புதல்), பதில் பிரிவில் நகல்களைச் சேர்க்க வழிவகுத்தது. அதிகாரப்பூர்வ DNS சேவையகங்களில் உள்ள பாதிப்பைப் பயன்படுத்திக் கொள்ள, செயலாக்கப்பட்ட DNS மண்டலங்களில் மாற்றங்களைச் செய்ய வேண்டும், மேலும் சுழல்நிலை சேவையகங்களுக்கு, அதிகாரப்பூர்வ சேவையகத்தைத் தொடர்பு கொண்ட பிறகு சிக்கல் பதிவைப் பெறலாம்.
- CVE-2021-25214 - சிறப்பாக வடிவமைக்கப்பட்ட உள்வரும் IXFR கோரிக்கையைச் செயலாக்கும்போது பெயரிடப்பட்ட செயல்முறை செயலிழக்கிறது (DNS சேவையகங்களுக்கு இடையில் DNS மண்டலங்களில் மாற்றங்களை அதிகரிக்கப் பயன்படுகிறது). தாக்குபவரின் சேவையகத்திலிருந்து DNS மண்டல இடமாற்றங்களை அனுமதித்த கணினிகளை மட்டுமே சிக்கல் பாதிக்கிறது (வழக்கமாக மண்டல இடமாற்றங்கள் முதன்மை மற்றும் அடிமை சேவையகங்களை ஒத்திசைக்கப் பயன்படுத்தப்படுகின்றன மற்றும் நம்பகமான சேவையகங்களுக்கு மட்டுமே தேர்ந்தெடுக்கப்படும்). பாதுகாப்பு தீர்வாக, “request-ixfr no;” அமைப்பைப் பயன்படுத்தி IXFR ஆதரவை முடக்கலாம்.
ஆதாரம்: opennet.ru