Навсозиҳои ислоҳкунанда барои шохаҳои устувори сервери BIND DNS 9.11.31 ва 9.16.15, инчунин филиали таҷрибавии 9.17.12, ки дар ҳоли таҳия аст, нашр шудаанд. Варақаҳои нав се осебпазириро ҳал мекунанд, ки яке аз онҳо (CVE-2021-25216) боиси фаромадани буфер мегардад. Дар системаҳои 32-бит, осебпазириро барои аз фосилаи дур иҷро кардани коди ҳамлакунанда тавассути ирсоли дархости махсуси GSS-TSIG истифода бурдан мумкин аст. Дар 64 система мушкилот танҳо бо садамаи раванди номбаршуда маҳдуд аст.
Мушкилот танҳо вақте пайдо мешавад, ки механизми GSS-TSIG фаъол карда шуда, бо истифода аз танзимоти tkey-gssapi-keytab ва tkey-gssapi-коршиносӣ фаъол карда мешавад. GSS-TSIG дар конфигуратсияи пешфарз ғайрифаъол аст ва маъмулан дар муҳитҳои омехта истифода мешавад, ки BIND бо контроллерҳои домени Active Directory ё ҳангоми ҳамгироӣ бо Samba якҷоя карда мешавад.
Ин осебпазирӣ дар натиҷаи иштибоҳ дар татбиқи механизми SPNEGO (Механизми Содда ва Муҳофизати Музокироти GSSAPI), ки дар GSSAPI барои гуфтушунид оид ба усулҳои муҳофизати муштарӣ ва сервер истифода мешавад, ба вуҷуд омадааст. GSSAPI ҳамчун протоколи сатҳи баланд барои мубодилаи бехатари калидҳо бо истифода аз васеъшавии GSS-TSIG, ки дар ҷараёни аутентификатсияи навсозиҳои динамикии минтақаи DNS истифода мешавад, истифода мешавад.
Азбаски осебпазирии муҳим дар татбиқи дохилии SPNEGO қаблан пайдо шуда буд, татбиқи ин протокол аз пойгоҳи коди BIND 9 хориҷ карда шуд.Барои корбароне, ки ба дастгирии SPNEGO эҳтиёҷ доранд, тавсия дода мешавад, ки татбиқи берунии аз ҷониби GSSAPI пешниҳодшуда истифода шавад. китобхонаи система (дар MIT Kerberos ва Heimdal Kerberos дода шудааст).
Истифодабарандагони версияҳои кӯҳнаи BIND, ҳамчун роҳи ҳалли бастани мушкилот, метавонанд GSS-TSIG-ро дар танзимот ғайрифаъол созанд (имконоти tkey-gssapi-keytab ва tkey-gssapi-коршиносӣ) ё BIND-ро бе дастгирии механизми SPNEGO барқарор кунанд (варианти "- -disable-isc-spnego" дар скрипти "конфигуратсия"). Шумо метавонед дастрасии навсозиҳоро дар дистрибюторҳо дар саҳифаҳои зерин пайгирӣ кунед: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Бастаҳои RHEL ва ALT Linux бе дастгирии модарии SPNEGO сохта шудаанд.
Илова бар ин, ду осебпазирии дигар дар навсозиҳои BIND ислоҳ карда шудаанд:
- CVE-2021-25215 — раванди номбаршуда ҳангоми коркарди сабтҳои DNAME (коркарди масири як қисми зердоменҳо) садама зад, ки боиси иловаи такрорӣ ба бахши ҶАВОБ шуд. Истифодаи осебпазирӣ дар серверҳои бонуфузи DNS ворид кардани тағирот ба минтақаҳои коркардшудаи DNS-ро талаб мекунад ва барои серверҳои рекурсивӣ, сабти мушкилотро пас аз тамос бо сервери муътабар гирифтан мумкин аст.
- CVE-2021-25214 - Раванди номбаршуда ҳангоми коркарди дархости воридотии махсуси IXFR (барои тадриҷан интиқол додани тағирот дар минтақаҳои DNS байни серверҳои DNS истифода мешавад) садама мезанад. Мушкилот танҳо ба системаҳое дахл дорад, ки интиқоли минтақаи DNS аз сервери ҳамлакунандаро иҷозат додаанд (одатан интиқолҳои минтақавӣ барои ҳамоҳангсозии серверҳои асосӣ ва ғулом истифода мешаванд ва ба таври интихобӣ танҳо барои серверҳои боэътимод иҷозат дода мешаванд). Ҳамчун як роҳи ҳалли амният, шумо метавонед дастгирии IXFR-ро бо истифода аз танзимоти "request-ixfr no;" хомӯш кунед.
Манбаъ: opennet.ru