Na-publish ang mga corrective update para sa mga stable na branch ng BIND DNS server 9.11.31 at 9.16.15, pati na rin ang experimental branch 9.17.12, na nasa development. Tinutugunan ng mga bagong release ang tatlong mga kahinaan, kung saan ang isa (CVE-2021-25216) ay nagdudulot ng buffer overflow. Sa mga 32-bit na system, maaaring gamitin ang kahinaan upang malayuang magsagawa ng code ng attacker sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan sa GSS-TSIG. Sa 64 system ang problema ay limitado sa pag-crash ng pinangalanang proseso.
Lumalabas lamang ang problema kapag pinagana ang mekanismo ng GSS-TSIG, na-activate gamit ang mga setting ng tkey-gssapi-keytab at tkey-gssapi-credential. Ang GSS-TSIG ay hindi pinagana sa default na configuration at kadalasang ginagamit sa magkahalong kapaligiran kung saan ang BIND ay pinagsama sa mga controller ng domain ng Active Directory, o kapag isinasama sa Samba.
Ang kahinaan ay sanhi ng isang error sa pagpapatupad ng mekanismo ng SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), na ginagamit sa GSSAPI upang makipag-ayos sa mga paraan ng proteksyon na ginagamit ng kliyente at server. Ginagamit ang GSSAPI bilang isang high-level na protocol para sa secure na key exchange gamit ang GSS-TSIG extension na ginamit sa proseso ng pag-authenticate ng mga dynamic na DNS zone update.
Dahil ang mga kritikal na kahinaan sa built-in na pagpapatupad ng SPNEGO ay natagpuan na dati, ang pagpapatupad ng protocol na ito ay inalis mula sa BIND 9 code base. Para sa mga user na nangangailangan ng suporta ng SPNEGO, inirerekomendang gumamit ng panlabas na pagpapatupad na ibinigay ng GSSAPI system library (ibinigay sa MIT Kerberos at Heimdal Kerberos).
Ang mga gumagamit ng mas lumang bersyon ng BIND, bilang isang solusyon para sa pagharang sa problema, ay maaaring hindi paganahin ang GSS-TSIG sa mga setting (mga opsyon na tkey-gssapi-keytab at tkey-gssapi-credential) o muling itayo ang BIND nang walang suporta para sa mekanismo ng SPNEGO (opsyon "- -disable-isc-spnego" sa script na "configure"). Maaari mong subaybayan ang pagkakaroon ng mga update sa mga pamamahagi sa mga sumusunod na pahina: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Ang mga pakete ng RHEL at ALT Linux ay binuo nang walang katutubong suporta sa SPNEGO.
Bukod pa rito, dalawa pang kahinaan ang naayos sa pinag-uusapang pag-update ng BIND:
- CVE-2021-25215 β nag-crash ang pinangalanang proseso noong pinoproseso ang mga tala ng DNAME (pagproseso ng pag-redirect ng bahagi ng mga subdomain), na humahantong sa pagdaragdag ng mga duplicate sa seksyong ANSWER. Ang pagsasamantala sa kahinaan sa mga may awtoridad na DNS server ay nangangailangan ng paggawa ng mga pagbabago sa mga naprosesong DNS zone, at para sa mga recursive server, ang may problemang rekord ay maaaring makuha pagkatapos makipag-ugnayan sa may awtoridad na server.
- CVE-2021-25214 β Nag-crash ang pinangalanang proseso kapag nagpoproseso ng isang espesyal na ginawang papasok na kahilingan sa IXFR (ginagamit upang unti-unting ilipat ang mga pagbabago sa mga DNS zone sa pagitan ng mga DNS server). Ang problema ay nakakaapekto lamang sa mga system na pinahintulutan ang mga DNS zone transfer mula sa server ng umaatake (kadalasan ang mga zone transfer ay ginagamit upang i-synchronize ang mga master at slave server at piling pinapayagan lamang para sa mga mapagkakatiwalaang server). Bilang solusyon sa seguridad, maaari mong i-disable ang suporta sa IXFR gamit ang setting na βrequest-ixfr no;β.
Pinagmulan: opennet.ru