BIND DNS sunucusu 9.11.31 ve 9.16.15'in kararlı dallarının yanı sıra geliştirilmekte olan deneysel dal 9.17.12 için düzeltici güncellemeler yayımlandı. Yeni sürümler, biri (CVE-2021-25216) arabellek taşmasına neden olan üç güvenlik açığını gideriyor. 32 bit sistemlerde, bu güvenlik açığından yararlanılarak özel hazırlanmış bir GSS-TSIG isteği gönderilerek saldırganın kodu uzaktan yürütülebilir. 64 sistemde sorun, adı geçen işlemin çökmesiyle sınırlıdır.
Sorun yalnızca GSS-TSIG mekanizması etkinleştirildiğinde, tkey-gssapi-keytab ve tkey-gssapi-credential ayarları kullanılarak etkinleştirildiğinde ortaya çıkar. GSS-TSIG, varsayılan yapılandırmada devre dışıdır ve genellikle BIND'in Active Directory etki alanı denetleyicileriyle birleştirildiği karma ortamlarda veya Samba ile entegrasyon sırasında kullanılır.
Güvenlik açığı, istemci ve sunucu tarafından kullanılan koruma yöntemleri üzerinde anlaşmak için GSSAPI'de kullanılan SPNEGO (Basit ve Korumalı GSSAPI Anlaşma Mekanizması) mekanizmasının uygulanmasındaki bir hatadan kaynaklanıyor. GSSAPI, dinamik DNS bölgesi güncellemelerinin kimlik doğrulaması sürecinde kullanılan GSS-TSIG uzantısını kullanarak güvenli anahtar değişimi için üst düzey bir protokol olarak kullanılır.
SPNEGO'nun yerleşik uygulamasındaki kritik güvenlik açıkları daha önce bulunduğundan bu protokolün uygulaması BIND 9 kod tabanından kaldırıldı. SPNEGO desteğine ihtiyaç duyan kullanıcılar için GSSAPI tarafından sağlanan harici bir uygulamanın kullanılması önerilir. sistem kütüphanesi (MIT Kerberos ve Heimdal Kerberos'ta sağlanır).
BIND'in eski sürümlerinin kullanıcıları, sorunu engellemeye yönelik bir geçici çözüm olarak, ayarlarda GSS-TSIG'yi devre dışı bırakabilir (tkey-gssapi-keytab ve tkey-gssapi-credential seçenekleri) veya BIND'i SPNEGO mekanizması desteği olmadan yeniden oluşturabilir ("- seçeneği) -disable-isc-spnego", "configure" komut dosyasında). Dağıtımlardaki güncellemelerin kullanılabilirliğini şu sayfalardan takip edebilirsiniz: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL ve ALT Linux paketleri yerel SPNEGO desteği olmadan oluşturulmuştur.
Ayrıca söz konusu BIND güncellemelerinde iki güvenlik açığı daha düzeltildi:
- CVE-2021-25215 — DNAME kayıtları işlenirken adı geçen işlem çöktü (alt alanların bir kısmının yeniden işlenmesi), CEVAP bölümüne kopyaların eklenmesine yol açtı. Yetkili DNS sunucularındaki güvenlik açığından yararlanmak, işlenen DNS bölgelerinde değişiklik yapmayı gerektirir ve özyinelemeli sunucular için sorunlu kayıt, yetkili sunucuyla iletişime geçildikten sonra elde edilebilir.
- CVE-2021-25214 – Adlandırılmış işlem, özel hazırlanmış bir gelen IXFR isteğini işlerken çöküyor (DNS sunucuları arasında DNS bölgelerindeki değişiklikleri artımlı olarak aktarmak için kullanılır). Sorun yalnızca saldıran sunucudan DNS bölgelerinin aktarımına izin veren sistemleri etkilemektedir (bölge aktarımları genellikle ana ve yardımcı sunucuları senkronize etmek için kullanılır ve yalnızca güvenilir sunucular için seçici olarak izin verilir). Bir güvenlik çözümü olarak “request-ixfr no;” ayarını kullanarak IXFR desteğini devre dışı bırakabilirsiniz.
Kaynak: opennet.ru