ProHoster > Блог > ayelujara iroyin > Nmu imudojuiwọn olupin DNS BIND lati ṣatunṣe ailagbara ipaniyan koodu latọna jijin kan

Nmu imudojuiwọn olupin DNS BIND lati ṣatunṣe ailagbara ipaniyan koodu latọna jijin kan

Awọn imudojuiwọn atunṣe ti ṣe atẹjade fun awọn ẹka iduroṣinṣin ti olupin BIND DNS olupin 9.11.31 ati 9.16.15, bakanna bi ẹka idanwo 9.17.12, eyiti o wa ni idagbasoke. Awọn idasilẹ tuntun koju awọn ailagbara mẹta, ọkan ninu eyiti (CVE-2021-25216) fa aponsedanu ifipamọ kan. Lori awọn ọna ṣiṣe 32-bit, ailagbara naa le jẹ yanturu lati ṣiṣẹ latọna jijin koodu ikọlu nipasẹ fifiranṣẹ ibeere GSS-TSIG kan ti a ṣe ni pataki. Lori awọn eto 64 iṣoro naa ni opin si jamba ti ilana ti a npè ni.

Iṣoro naa han nikan nigbati ẹrọ GSS-TSIG ti ṣiṣẹ, mu ṣiṣẹ pẹlu lilo tkey-gssapi-keytab ati awọn eto ijẹrisi tkey-gssapi. GSS-TSIG jẹ alaabo ni iṣeto aiyipada ati pe a lo nigbagbogbo ni awọn agbegbe ti o dapọ nibiti BIND ti ni idapo pẹlu awọn olutona agbegbe Active Directory, tabi nigbati o ba ṣepọ pẹlu Samba.

Ailagbara naa jẹ idi nipasẹ aṣiṣe ninu imuse ti SPNEGO (Irọrun ati Idabobo Ilana Idunadura GSSAPI), ti a lo ninu GSSAPI lati ṣe idunadura awọn ọna aabo ti alabara ati olupin lo. A lo GSSAPI gẹgẹbi ilana ipele giga fun paṣipaarọ bọtini aabo ni lilo ifaagun GSS-TSIG ti a lo ninu ilana ti ijẹrisi awọn imudojuiwọn agbegbe agbegbe DNS ti o ni agbara.

Nitoripe awọn ailagbara pataki ninu imuse imuse ti SPNEGO ni a ti rii tẹlẹ, imuse ti ilana yii ti yọkuro lati ipilẹ koodu BIND 9. Fun awọn olumulo ti o nilo atilẹyin SPNEGO, a gba ọ niyanju lati lo imuse ita gbangba ti a pese nipasẹ GSSAPI ile-ikawe eto (ti a pese ni MIT Kerberos ati Heimdal Kerberos).

Awọn olumulo ti awọn ẹya agbalagba ti BIND, gẹgẹbi ibi-itọju fun idilọwọ iṣoro naa, le mu GSS-TSIG kuro ninu awọn eto (awọn aṣayan tkey-gssapi-keytab ati tkey-gssapi-credential) tabi tun BIND ṣe laisi atilẹyin fun ẹrọ SPNEGO (aṣayan "- -disable-isc-spnego" ni iwe afọwọkọ "tunto"). O le tọpa wiwa awọn imudojuiwọn ni awọn pinpin lori awọn oju-iwe wọnyi: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Awọn idii RHEL ati ALT Linux ni a kọ laisi atilẹyin SPNEGO abinibi.

Ni afikun, awọn ailagbara meji diẹ sii ti wa titi ninu awọn imudojuiwọn BIND ni ibeere:

  • CVE-2021-25215 - ilana ti a darukọ ti kọlu nigba ṣiṣe awọn igbasilẹ DNAME (iṣatunṣe atunṣe ti apakan ti awọn subdomains), ti o yori si afikun awọn ẹda-ẹda si apakan ANSWER. Lilo ailagbara lori awọn olupin DNS ti o ni aṣẹ nilo ṣiṣe awọn ayipada si awọn agbegbe DNS ti a ti ni ilọsiwaju, ati fun awọn olupin loorekoore, igbasilẹ iṣoro le ṣee gba lẹhin ti o kan si olupin alaṣẹ.
  • CVE-2021-25214 - Ilana ti a npè ni awọn ipadanu nigbati o nṣiṣẹ ibeere IXFR ti nwọle ti o ṣe pataki (ti a lo lati gbe awọn ayipada ni afikun ni awọn agbegbe DNS laarin awọn olupin DNS). Iṣoro naa kan awọn ọna ṣiṣe nikan ti o gba laaye awọn gbigbe agbegbe agbegbe DNS lati olupin olutayo (nigbagbogbo awọn gbigbe agbegbe ni a lo lati muuṣiṣẹpọ titunto si ati olupin ati pe a gba laaye yiyan nikan fun awọn olupin igbẹkẹle). Gẹgẹbi ibi iṣẹ aabo, o le mu atilẹyin IXFR kuro nipa lilo eto “ibeere-ixfr no;”

orisun: opennet.ru

Fi ọrọìwòye kun