BIND DNS సర్వర్ 9.11.31 మరియు 9.16.15 యొక్క స్థిరమైన శాఖల కోసం, అలాగే అభివృద్ధిలో ఉన్న ప్రయోగాత్మక శాఖ 9.17.12 కోసం దిద్దుబాటు నవీకరణలు ప్రచురించబడ్డాయి. కొత్త విడుదలలు మూడు దుర్బలత్వాలను పరిష్కరిస్తాయి, వాటిలో ఒకటి (CVE-2021-25216) బఫర్ ఓవర్ఫ్లోకి కారణమవుతుంది. 32-బిట్ సిస్టమ్లలో, ప్రత్యేకంగా రూపొందించిన GSS-TSIG అభ్యర్థనను పంపడం ద్వారా దాడి చేసేవారి కోడ్ను రిమోట్గా అమలు చేయడానికి హానిని ఉపయోగించుకోవచ్చు. 64 సిస్టమ్లలో సమస్య పేరు పెట్టబడిన ప్రక్రియ యొక్క క్రాష్కు పరిమితం చేయబడింది.
GSS-TSIG మెకానిజం ప్రారంభించబడి, tkey-gssapi-keytab మరియు tkey-gssapi-క్రెడెన్షియల్ సెట్టింగ్లను ఉపయోగించి సక్రియం చేసినప్పుడు మాత్రమే సమస్య కనిపిస్తుంది. GSS-TSIG డిఫాల్ట్ కాన్ఫిగరేషన్లో నిలిపివేయబడింది మరియు సాధారణంగా BINDని యాక్టివ్ డైరెక్టరీ డొమైన్ కంట్రోలర్లతో కలిపిన మిశ్రమ వాతావరణాలలో లేదా సాంబాతో అనుసంధానించేటప్పుడు ఉపయోగించబడుతుంది.
క్లయింట్ మరియు సర్వర్ ఉపయోగించే రక్షణ పద్ధతులను చర్చించడానికి GSSAPIలో ఉపయోగించే SPNEGO (సింపుల్ అండ్ ప్రొటెక్టెడ్ GSSAPI నెగోషియేషన్ మెకానిజం) మెకానిజం అమలులో లోపం కారణంగా ఈ దుర్బలత్వం ఏర్పడింది. డైనమిక్ DNS జోన్ నవీకరణలను ప్రామాణీకరించే ప్రక్రియలో ఉపయోగించే GSS-TSIG పొడిగింపును ఉపయోగించి సురక్షిత కీ మార్పిడి కోసం GSSAPI ఉన్నత-స్థాయి ప్రోటోకాల్గా ఉపయోగించబడుతుంది.
SPNEGO యొక్క అంతర్నిర్మిత అమలులో క్లిష్టమైన దుర్బలత్వాలు మునుపు కనుగొనబడినందున, ఈ ప్రోటోకాల్ యొక్క అమలు BIND 9 కోడ్ బేస్ నుండి తీసివేయబడింది. SPNEGO మద్దతు అవసరమయ్యే వినియోగదారుల కోసం, GSSAPI అందించిన బాహ్య అమలును ఉపయోగించమని సిఫార్సు చేయబడింది. సిస్టమ్ లైబ్రరీ (MIT Kerberos మరియు Heimdal Kerberosలో అందించబడింది).
BIND యొక్క పాత సంస్కరణల వినియోగదారులు, సమస్యను నిరోధించడానికి ప్రత్యామ్నాయంగా, GSS-TSIGని సెట్టింగ్లలో నిలిపివేయవచ్చు (ఐచ్ఛికాలు tkey-gssapi-keytab మరియు tkey-gssapi-క్రెడెన్షియల్) లేదా SPNEGO మెకానిజమ్కు మద్దతు లేకుండా BINDని పునర్నిర్మించవచ్చు (ఎంపిక "- -డిసేబుల్-isc-spnego" స్క్రిప్ట్లో "కాన్ఫిగర్"). మీరు క్రింది పేజీలలో పంపిణీలలో నవీకరణల లభ్యతను ట్రాక్ చేయవచ్చు: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL మరియు ALT Linux ప్యాకేజీలు స్థానిక SPNEGO మద్దతు లేకుండా నిర్మించబడ్డాయి.
అదనంగా, సందేహాస్పదమైన BIND అప్డేట్లలో మరో రెండు దుర్బలత్వాలు పరిష్కరించబడ్డాయి:
- CVE-2021-25215 — DNAME రికార్డ్లను (సబ్డొమైన్లలో కొంత భాగాన్ని రీడైరెక్ట్ ప్రాసెసింగ్) ప్రాసెస్ చేస్తున్నప్పుడు పేరున్న ప్రక్రియ క్రాష్ చేయబడింది, ఇది జవాబు విభాగానికి నకిలీలను జోడించడానికి దారి తీస్తుంది. అధీకృత DNS సర్వర్లపై దుర్బలత్వాన్ని ఉపయోగించుకోవడం కోసం ప్రాసెస్ చేయబడిన DNS జోన్లకు మార్పులు చేయడం అవసరం మరియు పునరావృత సర్వర్ల కోసం, అధికారిక సర్వర్ని సంప్రదించిన తర్వాత సమస్యాత్మక రికార్డును పొందవచ్చు.
- CVE-2021-25214 – ప్రత్యేకంగా రూపొందించిన ఇన్కమింగ్ IXFR అభ్యర్థనను ప్రాసెస్ చేస్తున్నప్పుడు పేరున్న ప్రక్రియ క్రాష్ అవుతుంది (DNS సర్వర్ల మధ్య DNS జోన్లలో మార్పులను పెంచడానికి ఉపయోగించబడుతుంది). దాడి చేసేవారి సర్వర్ నుండి DNS జోన్ బదిలీలను అనుమతించిన సిస్టమ్లను మాత్రమే సమస్య ప్రభావితం చేస్తుంది (సాధారణంగా జోన్ బదిలీలు మాస్టర్ మరియు స్లేవ్ సర్వర్లను సమకాలీకరించడానికి ఉపయోగించబడతాయి మరియు విశ్వసనీయ సర్వర్లకు మాత్రమే ఎంపిక చేయబడతాయి). భద్రతా ప్రత్యామ్నాయంగా, మీరు “request-ixfr no;” సెట్టింగ్ని ఉపయోగించి IXFR మద్దతును నిలిపివేయవచ్చు.
మూలం: opennet.ru