การอัปเดตการแก้ไขได้รับการเผยแพร่สำหรับสาขาที่เสถียรของเซิร์ฟเวอร์ BIND DNS 9.11.31 และ 9.16.15 รวมถึงสาขาทดลอง 9.17.12 ซึ่งอยู่ในการพัฒนา เวอร์ชันใหม่แก้ไขช่องโหว่ 2021 รายการ หนึ่งในนั้น (CVE-25216-32) ทำให้เกิดบัฟเฟอร์ล้น บนระบบ 64 บิต สามารถใช้ช่องโหว่เพื่อรันโค้ดของผู้โจมตีจากระยะไกลโดยการส่งคำขอ GSS-TSIG ที่สร้างขึ้นเป็นพิเศษ บนระบบ XNUMX ระบบ ปัญหาจะจำกัดอยู่ที่การขัดข้องของกระบวนการที่ระบุชื่อเท่านั้น
ปัญหาจะปรากฏขึ้นเฉพาะเมื่อมีการเปิดใช้งานกลไก GSS-TSIG โดยเปิดใช้งานโดยใช้การตั้งค่า tkey-gssapi-keytab และ tkey-gssapi-credential GSS-TSIG ถูกปิดใช้งานในการกำหนดค่าเริ่มต้น และโดยทั่วไปจะใช้ในสภาพแวดล้อมแบบผสมโดยที่ BIND รวมกับตัวควบคุมโดเมน Active Directory หรือเมื่อรวมกับ Samba
ช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานกลไก SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) ที่ใช้ใน GSSAPI เพื่อเจรจาวิธีการป้องกันที่ใช้โดยไคลเอนต์และเซิร์ฟเวอร์ GSSAPI ใช้เป็นโปรโตคอลระดับสูงสำหรับการแลกเปลี่ยนคีย์ที่ปลอดภัยโดยใช้ส่วนขยาย GSS-TSIG ที่ใช้ในกระบวนการตรวจสอบสิทธิ์การอัปเดตโซน DNS แบบไดนามิก
เนื่องจากก่อนหน้านี้พบช่องโหว่ที่สำคัญในการใช้งาน SPNEGO ในตัว การใช้งานโปรโตคอลนี้จึงถูกลบออกจากฐานโค้ด BIND 9 แล้ว สำหรับผู้ใช้ที่ต้องการการสนับสนุน SPNEGO ขอแนะนำให้ใช้การใช้งานภายนอกที่ GSSAPI ให้มา ไลบรารีระบบ (มีให้ใน MIT Kerberos และ Heimdal Kerberos)
ผู้ใช้ BIND เวอร์ชันเก่าเป็นวิธีแก้ปัญหาชั่วคราวในการบล็อกปัญหา สามารถปิดการใช้งาน GSS-TSIG ในการตั้งค่า (ตัวเลือก tkey-gssapi-keytab และ tkey-gssapi-credential) หรือสร้าง BIND ใหม่โดยไม่รองรับกลไก SPNEGO (ตัวเลือก "- -disable-isc-spnego" ในสคริปต์ "กำหนดค่า") คุณสามารถติดตามความพร้อมใช้งานของการอัปเดตในการแจกจ่ายในหน้าต่อไปนี้: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD แพ็คเกจ RHEL และ ALT Linux สร้างขึ้นโดยไม่รองรับ SPNEGO ดั้งเดิม
นอกจากนี้ ยังมีการแก้ไขช่องโหว่อีกสองรายการในการอัปเดต BIND ที่เป็นปัญหา:
- CVE-2021-25215 — กระบวนการที่ระบุชื่อขัดข้องเมื่อประมวลผลบันทึก DNAME (การประมวลผลการเปลี่ยนเส้นทางของส่วนหนึ่งของโดเมนย่อย) ซึ่งนำไปสู่การเพิ่มรายการที่ซ้ำกันในส่วน ANSWER การใช้ประโยชน์จากช่องโหว่บนเซิร์ฟเวอร์ DNS ที่เชื่อถือได้จำเป็นต้องทำการเปลี่ยนแปลงโซน DNS ที่ได้รับการประมวลผล และสำหรับเซิร์ฟเวอร์แบบเรียกซ้ำ สามารถรับบันทึกที่มีปัญหาได้หลังจากติดต่อกับเซิร์ฟเวอร์ที่เชื่อถือได้
- CVE-2021-25214 – กระบวนการที่ระบุชื่อล้มเหลวเมื่อประมวลผลคำขอ IXFR ขาเข้าที่สร้างขึ้นเป็นพิเศษ (ใช้เพื่อถ่ายโอนการเปลี่ยนแปลงในโซน DNS แบบเพิ่มหน่วยระหว่างเซิร์ฟเวอร์ DNS) ปัญหาดังกล่าวส่งผลต่อระบบที่อนุญาตให้มีการถ่ายโอนโซน DNS จากเซิร์ฟเวอร์ของผู้โจมตีเท่านั้น (โดยปกติแล้ว การถ่ายโอนโซนจะใช้เพื่อซิงโครไนซ์เซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ทาส และจะได้รับอนุญาตเฉพาะสำหรับเซิร์ฟเวอร์ที่น่าเชื่อถือเท่านั้น) วิธีแก้ปัญหาด้านความปลอดภัย คุณสามารถปิดใช้งานการสนับสนุน IXFR ได้โดยใช้การตั้งค่า "request-ixfr no;"
ที่มา: opennet.ru