BIND DNS سرور، 9.11.31 اور 9.16.15 کی مستحکم برانچوں کے ساتھ ساتھ تجرباتی 9.17.12 برانچ کے لیے اصلاحی اپ ڈیٹس جاری کیے گئے ہیں، جو اس وقت ترقی کے مراحل میں ہے۔ نئی ریلیز تین کمزوریوں کو دور کرتی ہیں، جن میں سے ایک (CVE-2021-25216) کے نتیجے میں بفر اوور فلو ہوتا ہے۔ 32 بٹ سسٹمز پر، خاص طور پر تیار کردہ GSS-TSIG درخواست بھیج کر ریموٹ کوڈ کو عمل میں لانے کے لیے اس کمزوری کا فائدہ اٹھایا جا سکتا ہے۔ 64 بٹ سسٹمز پر، مسئلہ نامزد عمل کے کریش تک محدود ہے۔
مسئلہ صرف اس وقت ہوتا ہے جب GSS-TSIG کو فعال کیا جاتا ہے، جو tkey-gssapi-keytab اور tkey-gssapi-credential ترتیبات کا استعمال کرتے ہوئے چالو ہوتا ہے۔ GSS-TSIG ڈیفالٹ کنفیگریشن میں غیر فعال ہے اور عام طور پر مخلوط ماحول میں استعمال ہوتا ہے جہاں BIND کو Active Directory ڈومین کنٹرولرز کے ساتھ ملایا جاتا ہے، یا Samba کے ساتھ انضمام کرتے وقت۔
یہ خطرہ SPNEGO (سادہ اور پروٹیکٹڈ GSSAPI گفت و شنید کے طریقہ کار) کے نفاذ میں خرابی کی وجہ سے ہے، جو GSSAPI میں کلائنٹ کے زیر استعمال پروٹوکولز پر بات چیت کرنے کے لیے استعمال ہوتا ہے اور سرور حفاظتی طریقے۔ GSSAPI کو GSS-TSIG ایکسٹینشن کا استعمال کرتے ہوئے محفوظ کلیدی تبادلے کے لیے ایک اعلیٰ سطحی پروٹوکول کے طور پر استعمال کیا جاتا ہے، جو کہ متحرک DNS زون اپ ڈیٹس کی صداقت کی تصدیق کے عمل میں استعمال ہوتا ہے۔
چونکہ بلٹ ان SPNEGO نفاذ میں اہم کمزوریوں کی نشاندہی پہلے کی جا چکی ہے، اس پروٹوکول کے نفاذ کو BIND 9 کوڈ بیس سے ہٹا دیا گیا ہے۔ جن صارفین کو SPNEGO سپورٹ کی ضرورت ہوتی ہے انہیں GSSAPI سسٹم لائبریری (MIT Kerberos اور Heimdal Kerberos میں فراہم کردہ) کی طرف سے فراہم کردہ بیرونی نفاذ کو استعمال کرنے کی سفارش کی جاتی ہے۔
ایک حل کے طور پر، پرانے BIND ورژن کے صارفین سیٹنگز میں GSS-TSIG کو غیر فعال کر سکتے ہیں (tkey-gssapi-keytab اور tkey-gssapi-credential پیرامیٹرز) یا SPNEGO سپورٹ کے بغیر BIND کو دوبارہ کمپائل کر سکتے ہیں ("کنفیگر" اسکرپٹ میں "-disable-isc-spnego" آپشن)۔ آپ درج ذیل صفحات پر اپنی تقسیم کے لیے اپ ڈیٹس کو ٹریک کر سکتے ہیں: DebianSUSE، Ubuntu، فیڈورا، آرک Linux، فری بی ایس ڈی، نیٹ بی ایس ڈی۔ RHEL اور ALT پیکجز Linux بلٹ ان SPNEGO سپورٹ کے بغیر مرتب کیے گئے ہیں۔
مزید برآں، زیر غور BIND اپ ڈیٹس میں دو مزید کمزوریاں طے کی گئیں:
- CVE-2021-25215 — DNAME ریکارڈز (کچھ ذیلی ڈومینز کی ری ڈائریکٹ پروسیسنگ) پر کارروائی کرتے ہوئے نامزد عمل کریش ہو گیا، جس کے نتیجے میں جوابات کے سیکشن میں نقلیں شامل ہو گئیں۔ مستند DNS سرورز پر کمزوری کا فائدہ اٹھانے کے لیے DNS زونز میں ترمیم کی ضرورت ہے جن پر کارروائی کی جا رہی ہے، اور بار بار آنے والے کے لیے سرورز مستند سرور سے رابطہ کر کے مشکل ریکارڈ کو بازیافت کیا جا سکتا ہے۔
- CVE-2021-25214 — خاص طور پر تیار کردہ آنے والی IXFR درخواست (DNS سرورز کے درمیان DNS زون کی تبدیلیوں کی بڑھتی ہوئی منتقلی کے لیے استعمال کیا جاتا ہے) پر کارروائی کرتے ہوئے نامزد عمل کریش ہو گیا۔ یہ کمزوری صرف ان سسٹمز کو متاثر کرتی ہے جنہوں نے حملہ آور کے سرور سے DNS زون کی منتقلی کو فعال کیا ہے (زون کی منتقلی عام طور پر ماسٹر اور غلام سرورز کو سنکرونائز کرنے کے لیے استعمال کی جاتی ہے اور صرف قابل اعتماد سرورز کے لیے منتخب طور پر فعال کیے جاتے ہیں)۔ ایک حل کے طور پر، IXFR سپورٹ کو "request-ixfr no;" کا استعمال کرتے ہوئے غیر فعال کیا جا سکتا ہے۔ ترتیب
ماخذ: opennet.ru
