Опубліковано коригуючі оновлення стабільних гілок DNS-сервера BIND 9.11.31 і 9.16.15, а також експериментальної гілки 9.17.12, що знаходиться в розробці. У нових випусках усунуто три вразливості, одна з яких (CVE-2021-25216) призводить до переповнення буфера. На 32-розрядних системах уразливість може бути експлуатована для віддаленого виконання коду зловмисника через відправлення спеціально оформленого запиту GSS-TSIG. На 64-системах проблема обмежується крахом процесу named.
Проблема проявляється тільки при включенні механізму GSS-TSIG, що активується за допомогою налаштувань tkey-gssapi-keytab та tkey-gssapi-credential. GSS-TSIG вимкнено у конфігурації за замовчуванням і зазвичай застосовується у змішаних оточеннях, у яких BIND поєднується з контролерами домену Active Directory, або при інтеграції з Samba.
Уразливість викликана помилкою в реалізації механізму SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), що застосовується в GSSAPI для узгодження методів захисту, що використовуються клієнтом і сервером. GSSAPI використовується як високорівневий протокол для захищеного обміну ключами за допомогою розширення GSS-TSIG, що застосовується в процесі автентифікації динамічних оновлень DNS-зон.
Так як критичні вразливості у вбудованій реалізації SPNEGO знаходили і раніше, реалізація даного протоколу видалена з кодової бази BIND 9. Для користувачів, яким необхідна підтримка SPNEGO, рекомендовано використовувати зовнішню реалізацію системної бібліотеки GSSAPI (надається в MIT Kerberos і Heimdal Kerber).
Користувачі старих версій BIND як обхідний шлях блокування проблеми можуть відключити GSS-TSIG у налаштуваннях (параметри tkey-gssapi-keytab і tkey-gssapi-credential) або перезбирати BIND без підтримки механізму SPNEGO (опція «—disable-isc-spnego» в скрипт "configure"). Простежити за появою оновлень у дистрибутивах можна на сторінках: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Пакети RHEL та ALT Linux збираються без вбудованої підтримки SPNEGO.
Додатково у розглянутих оновленнях BIND усунено ще дві вразливості:
- CVE-2021-25215 - крах процесу named при обробці записів DNAME (редирект обробки частини піддоменів), що призводять до додавання до секції ANSWER дублікатів. Для експлуатації вразливості на авторитетних DNS-серверах потрібно внесення змін до оброблюваних DNS-зон, а для рекурсивних серверів проблемний запис може бути отриманий після звернення до авторитетного сервера.
- CVE-2021-25214 - крах процесу named при обробці спеціально оформленого вхідного запиту IXFR (використовується для інкрементальної передачі між DNS-серверами змін у зонах DNS). Проблемі схильні тільки системи, що дозволили передачу зон DNS з сервера атакуючого (зазвичай передача зон використовується для синхронізації master- і slave-серверів і вибірково дозволяється тільки для серверів, що заслуговують на довіру). Як обхідний шлях захисту можна вимкнути підтримку IXFR за допомогою налаштування «request-ixfr no;».
Джерело: opennet.ru