BIND DNS سرور 9.11.31 اور 9.16.15 کی مستحکم برانچوں کے ساتھ ساتھ تجرباتی برانچ 9.17.12 کے لیے اصلاحی اپ ڈیٹس شائع کیے گئے ہیں، جو ترقی میں ہے۔ نئی ریلیزز تین کمزوریوں کو دور کرتی ہیں، جن میں سے ایک (CVE-2021-25216) بفر اوور فلو کا سبب بنتی ہے۔ 32 بٹ سسٹمز پر، خاص طور پر تیار کردہ GSS-TSIG درخواست بھیج کر حملہ آور کے کوڈ کو دور سے انجام دینے کے لیے کمزوری کا فائدہ اٹھایا جا سکتا ہے۔ 64 سسٹمز پر مسئلہ نامی عمل کے کریش تک محدود ہے۔
مسئلہ صرف اس وقت ظاہر ہوتا ہے جب GSS-TSIG میکانزم کو فعال کیا جاتا ہے، tkey-gssapi-keytab اور tkey-gssapi-credential ترتیبات کا استعمال کرتے ہوئے چالو کیا جاتا ہے۔ GSS-TSIG ڈیفالٹ کنفیگریشن میں غیر فعال ہے اور عام طور پر مخلوط ماحول میں استعمال ہوتا ہے جہاں BIND کو Active Directory ڈومین کنٹرولرز کے ساتھ ملایا جاتا ہے، یا Samba کے ساتھ انضمام کرتے وقت۔
یہ خطرہ SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) میکانزم کے نفاذ میں خرابی کی وجہ سے ہے، جو GSSAPI میں کلائنٹ اور سرور کے ذریعے استعمال ہونے والے تحفظ کے طریقوں پر گفت و شنید کے لیے استعمال ہوتا ہے۔ GSSAPI کو GSS-TSIG ایکسٹینشن کا استعمال کرتے ہوئے محفوظ کلیدی تبادلے کے لیے ایک اعلیٰ سطحی پروٹوکول کے طور پر استعمال کیا جاتا ہے جو متحرک DNS زون اپ ڈیٹس کی تصدیق کے عمل میں استعمال ہوتا ہے۔
چونکہ SPNEGO کے بلٹ ان نفاذ میں اہم کمزوریاں پہلے پائی گئی تھیں، اس لیے اس پروٹوکول کے نفاذ کو BIND 9 کوڈ بیس سے ہٹا دیا گیا ہے۔ جن صارفین کو SPNEGO سپورٹ کی ضرورت ہوتی ہے، ان کے لیے یہ تجویز کیا جاتا ہے کہ وہ GSSAPI کی طرف سے فراہم کردہ بیرونی نفاذ کو استعمال کریں۔ سسٹم لائبریری (MIT Kerberos اور Heimdal Kerberos میں فراہم کی گئی ہے)۔
BIND کے پرانے ورژن کے صارفین، مسئلہ کو روکنے کے لیے ایک حل کے طور پر، GSS-TSIG کو سیٹنگز میں غیر فعال کر سکتے ہیں (آپشنز tkey-gssapi-keytab اور tkey-gssapi-credential) یا SPNEGO میکانزم کی حمایت کے بغیر BIND کو دوبارہ بنا سکتے ہیں (آپشن "- اسکرپٹ "کنفیگر" میں غیر فعال-isc-spnego)۔ آپ درج ذیل صفحات پر تقسیم میں اپ ڈیٹس کی دستیابی کو ٹریک کر سکتے ہیں: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD۔ RHEL اور ALT لینکس پیکیج مقامی SPNEGO سپورٹ کے بغیر بنائے گئے ہیں۔
مزید برآں، سوال میں BIND اپ ڈیٹس میں دو مزید کمزوریاں طے کی گئی ہیں:
- CVE-2021-25215 — DNAME ریکارڈز (ذیلی ڈومینز کے حصے کی ری ڈائریکٹ پروسیسنگ) پر کارروائی کرتے وقت نام کا عمل کریش ہو گیا، جس کے نتیجے میں ANSWER سیکشن میں نقلیں شامل ہو گئیں۔ مستند DNS سرورز پر کمزوری کا فائدہ اٹھانے کے لیے پروسیس شدہ DNS زونز میں تبدیلیاں کرنے کی ضرورت ہوتی ہے، اور تکراری سرورز کے لیے، مستند سرور سے رابطہ کرنے کے بعد دشواری کا ریکارڈ حاصل کیا جا سکتا ہے۔
- CVE-2021-25214 - خاص طور پر تیار کردہ آنے والی IXFR درخواست پر کارروائی کرتے وقت نامزد عمل کریش ہو جاتا ہے (DNS سرورز کے درمیان DNS زونز میں بتدریج تبدیلیاں منتقل کرنے کے لیے استعمال کیا جاتا ہے)۔ مسئلہ صرف ان سسٹمز کو متاثر کرتا ہے جنہوں نے حملہ آور کے سرور سے DNS زون کی منتقلی کی اجازت دی ہے (عام طور پر زون کی منتقلی ماسٹر اور غلام سرورز کو سنکرونائز کرنے کے لیے استعمال کی جاتی ہے اور منتخب طور پر صرف قابل اعتماد سرورز کے لیے اجازت دی جاتی ہے)۔ سیکیورٹی کے حل کے طور پر، آپ "request-ixfr no;" سیٹنگ کا استعمال کرتے ہوئے IXFR سپورٹ کو غیر فعال کر سکتے ہیں۔
ماخذ: opennet.ru