Awọn imudojuiwọn atunṣe ti ṣe atẹjade fun awọn ẹka iduroṣinṣin ti olupin BIND DNS olupin 9.11.31 ati 9.16.15, bakanna bi ẹka idanwo 9.17.12, eyiti o wa ni idagbasoke. Awọn idasilẹ tuntun koju awọn ailagbara mẹta, ọkan ninu eyiti (CVE-2021-25216) fa aponsedanu ifipamọ kan. Lori awọn ọna ṣiṣe 32-bit, ailagbara naa le jẹ yanturu lati ṣiṣẹ latọna jijin koodu ikọlu nipasẹ fifiranṣẹ ibeere GSS-TSIG kan ti a ṣe ni pataki. Lori awọn eto 64 iṣoro naa ni opin si jamba ti ilana ti a npè ni.
Iṣoro naa han nikan nigbati ẹrọ GSS-TSIG ti ṣiṣẹ, mu ṣiṣẹ pẹlu lilo tkey-gssapi-keytab ati awọn eto ijẹrisi tkey-gssapi. GSS-TSIG jẹ alaabo ni iṣeto aiyipada ati pe a lo nigbagbogbo ni awọn agbegbe ti o dapọ nibiti BIND ti ni idapo pẹlu awọn olutona agbegbe Active Directory, tabi nigbati o ba ṣepọ pẹlu Samba.
Ailagbara naa jẹ idi nipasẹ aṣiṣe ninu imuse ti SPNEGO (Irọrun ati Idabobo Ilana Idunadura GSSAPI), ti a lo ninu GSSAPI lati ṣe idunadura awọn ọna aabo ti alabara ati olupin lo. A lo GSSAPI gẹgẹbi ilana ipele giga fun paṣipaarọ bọtini aabo ni lilo ifaagun GSS-TSIG ti a lo ninu ilana ti ijẹrisi awọn imudojuiwọn agbegbe agbegbe DNS ti o ni agbara.
Nitoripe awọn ailagbara pataki ninu imuse imuse ti SPNEGO ni a ti rii tẹlẹ, imuse ti ilana yii ti yọkuro lati ipilẹ koodu BIND 9. Fun awọn olumulo ti o nilo atilẹyin SPNEGO, a gba ọ niyanju lati lo imuse ita gbangba ti a pese nipasẹ GSSAPI ile-ikawe eto (ti a pese ni MIT Kerberos ati Heimdal Kerberos).
Awọn olumulo ti awọn ẹya agbalagba ti BIND, gẹgẹbi ibi-itọju fun idilọwọ iṣoro naa, le mu GSS-TSIG kuro ninu awọn eto (awọn aṣayan tkey-gssapi-keytab ati tkey-gssapi-credential) tabi tun BIND ṣe laisi atilẹyin fun ẹrọ SPNEGO (aṣayan "- -disable-isc-spnego" ni iwe afọwọkọ "tunto"). O le tọpa wiwa awọn imudojuiwọn ni awọn pinpin lori awọn oju-iwe wọnyi: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Awọn idii RHEL ati ALT Linux ni a kọ laisi atilẹyin SPNEGO abinibi.
Ni afikun, awọn ailagbara meji diẹ sii ti wa titi ninu awọn imudojuiwọn BIND ni ibeere:
- CVE-2021-25215 - ilana ti a darukọ ti kọlu nigba ṣiṣe awọn igbasilẹ DNAME (iṣatunṣe atunṣe ti apakan ti awọn subdomains), ti o yori si afikun awọn ẹda-ẹda si apakan ANSWER. Lilo ailagbara lori awọn olupin DNS ti o ni aṣẹ nilo ṣiṣe awọn ayipada si awọn agbegbe DNS ti a ti ni ilọsiwaju, ati fun awọn olupin loorekoore, igbasilẹ iṣoro le ṣee gba lẹhin ti o kan si olupin alaṣẹ.
- CVE-2021-25214 - Ilana ti a npè ni awọn ipadanu nigbati o nṣiṣẹ ibeere IXFR ti nwọle ti o ṣe pataki (ti a lo lati gbe awọn ayipada ni afikun ni awọn agbegbe DNS laarin awọn olupin DNS). Iṣoro naa kan awọn ọna ṣiṣe nikan ti o gba laaye awọn gbigbe agbegbe agbegbe DNS lati olupin olutayo (nigbagbogbo awọn gbigbe agbegbe ni a lo lati muuṣiṣẹpọ titunto si ati olupin ati pe a gba laaye yiyan nikan fun awọn olupin igbẹkẹle). Gẹgẹbi ibi iṣẹ aabo, o le mu atilẹyin IXFR kuro nipa lilo eto “ibeere-ixfr no;”
orisun: opennet.ru