Các bản cập nhật khắc phục đã được xuất bản cho các nhánh ổn định của máy chủ BIND DNS 9.11.31 và 9.16.15, cũng như nhánh thử nghiệm 9.17.12 đang được phát triển. Các bản phát hành mới giải quyết ba lỗ hổng, một trong số đó (CVE-2021-25216) gây tràn bộ đệm. Trên các hệ thống 32 bit, lỗ hổng này có thể bị khai thác để thực thi mã của kẻ tấn công từ xa bằng cách gửi yêu cầu GSS-TSIG được tạo ra đặc biệt. Trên 64 hệ thống, sự cố chỉ giới hạn ở sự cố của quy trình được đặt tên.
Sự cố chỉ xuất hiện khi cơ chế GSS-TSIG được bật, được kích hoạt bằng cài đặt thông tin xác thực tkey-gssapi-keytab và tkey-gssapi-credential. GSS-TSIG bị tắt trong cấu hình mặc định và thường được sử dụng trong các môi trường hỗn hợp trong đó BIND được kết hợp với bộ điều khiển miền Active Directory hoặc khi tích hợp với Samba.
Lỗ hổng này xuất phát từ lỗi trong quá trình triển khai cơ chế SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), được sử dụng trong GSSAPI để đàm phán các giao thức được sử dụng bởi máy khách và người phục vụ Các phương pháp bảo mật. GSSAPI được sử dụng như một giao thức cấp cao để trao đổi khóa an toàn bằng cách sử dụng phần mở rộng GSS-TSIG, được sử dụng trong quá trình xác minh tính xác thực của các bản cập nhật vùng DNS động.
Do các lỗ hổng nghiêm trọng trong quá trình triển khai SPNEGO tích hợp đã được phát hiện trước đó nên việc triển khai giao thức này đã bị xóa khỏi cơ sở mã BIND 9. Đối với những người dùng yêu cầu hỗ trợ SPNEGO, nên sử dụng triển khai bên ngoài do GSSAPI cung cấp thư viện hệ thống (được cung cấp tại MIT Kerberos và Heimdal Kerberos).
Để khắc phục sự cố, người dùng các phiên bản BIND cũ hơn có thể tắt GSS-TSIG trong phần cài đặt (tham số tkey-gssapi-keytab và tkey-gssapi-credential) hoặc biên dịch lại BIND mà không hỗ trợ SPNEGO (tùy chọn "--disable-isc-spnego" trong tập lệnh "configure"). Bạn có thể theo dõi các bản cập nhật cho bản phân phối của mình trên các trang sau: Debian, SỬ DỤNG, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Các gói RHEL và ALT Linux được biên dịch mà không có hỗ trợ SPNEGO tích hợp sẵn.
Ngoài ra, hai lỗ hổng khác đã được khắc phục trong bản cập nhật BIND được đề cập:
- CVE-2021-25215 — Quá trình named bị lỗi trong khi xử lý các bản ghi DNAME (xử lý chuyển hướng một số tên miền phụ), dẫn đến việc thêm các bản ghi trùng lặp vào phần ANSWER. Khai thác lỗ hổng trên các máy chủ DNS có thẩm quyền yêu cầu sửa đổi các vùng DNS đang được xử lý, và đối với các vùng đệ quy thì cần sửa đổi thêm. may chủ Có thể khôi phục bản ghi có vấn đề bằng cách liên hệ với máy chủ có thẩm quyền.
- CVE-2021-25214 – Quá trình được đặt tên gặp sự cố khi xử lý yêu cầu IXFR đến được chế tạo đặc biệt (được sử dụng để chuyển dần các thay đổi trong vùng DNS giữa các máy chủ DNS). Sự cố chỉ ảnh hưởng đến các hệ thống đã cho phép chuyển vùng DNS từ máy chủ của kẻ tấn công (thông thường chuyển vùng được sử dụng để đồng bộ hóa máy chủ chính và phụ và chỉ được phép có chọn lọc đối với các máy chủ đáng tin cậy). Để giải quyết vấn đề bảo mật, bạn có thể tắt hỗ trợ IXFR bằng cách sử dụng cài đặt “request-ixfr no;”.
Nguồn: opennet.ru
