BIND DNS serverining 9.11.31 va 9.16.15 barqaror tarmoqlari, shuningdek, ishlab chiqilayotgan 9.17.12 eksperimental filiallari uchun tuzatuvchi yangilanishlar chop etildi. Yangi nashrlar uchta zaiflikni ko'rib chiqadi, ulardan biri (CVE-2021-25216) bufer to'lib ketishiga olib keladi. 32-bitli tizimlarda zaiflikdan maxsus ishlab chiqilgan GSS-TSIG so'rovini yuborish orqali tajovuzkor kodini masofadan turib bajarish uchun foydalanish mumkin. 64 ta tizimda muammo nomdagi jarayonning ishdan chiqishi bilan cheklanadi.
Muammo faqat GSS-TSIG mexanizmi yoqilganda paydo bo'ladi, tkey-gssapi-keytab va tkey-gssapi-hisob ma'lumotlari sozlamalari yordamida faollashtiriladi. GSS-TSIG standart konfiguratsiyada o'chirib qo'yilgan va odatda BIND Active Directory domen kontrollerlari bilan birlashtirilgan aralash muhitlarda yoki Samba bilan integratsiyalashganda ishlatiladi.
Zaiflik mijoz va server tomonidan qo'llaniladigan himoya usullarini muhokama qilish uchun GSSAPIda qo'llaniladigan SPNEGO (Oddiy va himoyalangan GSSAPI muzokara mexanizmi) mexanizmini amalga oshirishdagi xatolik tufayli yuzaga keladi. GSSAPI dinamik DNS zonasi yangilanishlarini autentifikatsiya qilish jarayonida foydalaniladigan GSS-TSIG kengaytmasidan foydalangan holda kalitlarni xavfsiz almashish uchun yuqori darajadagi protokol sifatida ishlatiladi.
SPNEGO-ni o'rnatilgan amalga oshirishda muhim zaifliklar avvalroq topilganligi sababli, ushbu protokolni amalga oshirish BIND 9 kod bazasidan olib tashlandi.SPNEGO-ni qo'llab-quvvatlashga muhtoj foydalanuvchilar uchun GSSAPI tomonidan taqdim etilgan tashqi dasturdan foydalanish tavsiya etiladi. tizim kutubxonasi (MIT Kerberos va Heimdal Kerberosda taqdim etilgan).
BIND-ning eski versiyalari foydalanuvchilari muammoni blokirovka qilish uchun vaqtinchalik yechim sifatida sozlamalarda GSS-TSIG-ni o'chirib qo'yishlari mumkin (tkey-gssapi-keytab va tkey-gssapi-hisob ma'lumotlari variantlari) yoki SPNEGO mexanizmini qo'llab-quvvatlamasdan BIND-ni qayta tiklashlari mumkin (variant "- "configure" skriptida -disable-isc-spnego"). Distribyutsiyalardagi yangilanishlar mavjudligini quyidagi sahifalarda kuzatishingiz mumkin: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL va ALT Linux paketlari mahalliy SPNEGO yordamisiz qurilgan.
Bundan tashqari, BIND yangilanishlarida yana ikkita zaiflik aniqlangan:
- CVE-2021-25215 — nomli jarayon DNAME yozuvlarini qayta ishlashda (subdomainlarning bir qismini qayta yoʻnaltirish) ishlamay qoldi, bu esa JAVOBLAR boʻlimiga dublikatlarning qoʻshilishiga olib keldi. Vakolatli DNS serverlarida zaiflikdan foydalanish qayta ishlangan DNS zonalariga o'zgartirish kiritishni talab qiladi va rekursiv serverlar uchun muammoli yozuvni vakolatli server bilan bog'langandan keyin olish mumkin.
- CVE-2021-25214 - Nomlangan jarayon maxsus ishlab chiqilgan kiruvchi IXFR so'rovini qayta ishlashda ishlamay qoladi (DNS zonalaridagi o'zgarishlarni DNS serverlari o'rtasida bosqichma-bosqich uzatish uchun ishlatiladi). Muammo faqat tajovuzkor serveridan DNS zonalarini o'tkazishga ruxsat bergan tizimlarga ta'sir qiladi (odatda zona o'tkazmalari asosiy va tobe serverlarni sinxronlashtirish uchun ishlatiladi va tanlab faqat ishonchli serverlar uchun ruxsat etiladi). Xavfsizlik yechimi sifatida siz “so'rov-ixfr no;” sozlamasidan foydalanib IXFR qo'llab-quvvatlashini o'chirib qo'yishingiz mumkin.
Manba: opennet.ru