Các bản cập nhật khắc phục đã được xuất bản cho các nhánh ổn định của máy chủ BIND DNS 9.11.31 và 9.16.15, cũng như nhánh thử nghiệm 9.17.12 đang được phát triển. Các bản phát hành mới giải quyết ba lỗ hổng, một trong số đó (CVE-2021-25216) gây tràn bộ đệm. Trên các hệ thống 32 bit, lỗ hổng này có thể bị khai thác để thực thi mã của kẻ tấn công từ xa bằng cách gửi yêu cầu GSS-TSIG được tạo ra đặc biệt. Trên 64 hệ thống, sự cố chỉ giới hạn ở sự cố của quy trình được đặt tên.
Sự cố chỉ xuất hiện khi cơ chế GSS-TSIG được bật, được kích hoạt bằng cài đặt thông tin xác thực tkey-gssapi-keytab và tkey-gssapi-credential. GSS-TSIG bị tắt trong cấu hình mặc định và thường được sử dụng trong các môi trường hỗn hợp trong đó BIND được kết hợp với bộ điều khiển miền Active Directory hoặc khi tích hợp với Samba.
Lỗ hổng này xảy ra do lỗi trong quá trình triển khai cơ chế SPNEGO (Cơ chế đàm phán GSSAPI đơn giản và được bảo vệ), được sử dụng trong GSSAPI để đàm phán các phương thức bảo vệ được máy khách và máy chủ sử dụng. GSSAPI được sử dụng làm giao thức cấp cao để trao đổi khóa an toàn bằng tiện ích mở rộng GSS-TSIG được sử dụng trong quá trình xác thực các bản cập nhật vùng DNS động.
Do các lỗ hổng nghiêm trọng trong quá trình triển khai SPNEGO tích hợp đã được phát hiện trước đó nên việc triển khai giao thức này đã bị xóa khỏi cơ sở mã BIND 9. Đối với những người dùng yêu cầu hỗ trợ SPNEGO, nên sử dụng triển khai bên ngoài do GSSAPI cung cấp thư viện hệ thống (được cung cấp tại MIT Kerberos và Heimdal Kerberos).
Người dùng các phiên bản BIND cũ hơn, như một giải pháp khắc phục sự cố, có thể tắt GSS-TSIG trong cài đặt (tùy chọn tkey-gssapi-keytab và tkey-gssapi-credential) hoặc xây dựng lại BIND mà không cần hỗ trợ cơ chế SPNEGO (tùy chọn "- -disable-isc-spnego" trong tập lệnh "cấu hình"). Bạn có thể theo dõi tính khả dụng của các bản cập nhật trong các bản phân phối trên các trang sau: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Các gói RHEL và ALT Linux được xây dựng mà không có hỗ trợ SPNEGO gốc.
Ngoài ra, hai lỗ hổng khác đã được khắc phục trong bản cập nhật BIND được đề cập:
- CVE-2021-25215 — quy trình được đặt tên bị lỗi khi xử lý bản ghi DNAME (xử lý chuyển hướng một phần tên miền phụ), dẫn đến việc thêm các bản sao vào phần TRẢ LỜI. Việc khai thác lỗ hổng trên các máy chủ DNS có thẩm quyền yêu cầu thực hiện các thay đổi đối với các vùng DNS đã xử lý và đối với các máy chủ đệ quy, có thể lấy được bản ghi có vấn đề sau khi liên hệ với máy chủ có thẩm quyền.
- CVE-2021-25214 – Quá trình được đặt tên gặp sự cố khi xử lý yêu cầu IXFR đến được chế tạo đặc biệt (được sử dụng để chuyển dần các thay đổi trong vùng DNS giữa các máy chủ DNS). Sự cố chỉ ảnh hưởng đến các hệ thống đã cho phép chuyển vùng DNS từ máy chủ của kẻ tấn công (thông thường chuyển vùng được sử dụng để đồng bộ hóa máy chủ chính và phụ và chỉ được phép có chọn lọc đối với các máy chủ đáng tin cậy). Để giải quyết vấn đề bảo mật, bạn có thể tắt hỗ trợ IXFR bằng cách sử dụng cài đặt “request-ixfr no;”.
Nguồn: opennet.ru