قبل عدة أيامتم إطلاق إصدار إصدارات DNS BIND التصحيحية الجديدة من الفروع المستقرة 9.11.31 و 9.16.15 وهي أيضًا قيد تطوير الفروع التجريبية 9.17.12 ، هذا هو خادم DNS الأكثر استخدامًا على الإنترنت ويستخدم بشكل خاص في أنظمة Unix ، حيث يعد معيارًا و برعاية اتحاد أنظمة الإنترنت.
يذكر في إصدار الإصدارات الجديدة أن الهدف الأساسي هو تصحيح ثلاث نقاط ضعف ، أحدها (CVE-2021-25216) يتسبب في تجاوز سعة المخزن المؤقت.
يذكر أنه في أنظمة 32 بت ، يمكن استغلال الثغرة الأمنية لتنفيذ التعليمات البرمجية عن بُعد تم تصميمه بواسطة المهاجم من خلال إرسال طلب GSS-TSIG معد خصيصًا ، بينما بالنسبة لأنظمة 64 بت ، تقتصر المشكلة على حظر العملية المحددة.
المشكلة تتجلى فقط عند تمكين آلية GSS-TSIG ، الذي يتم تنشيطه بواسطة إعدادات tkey-gssapi-keytab و tkey-gssapi-بيانات الاعتماد. يتم تعطيل GSS-TSIG افتراضيًا ويتم استخدامه بشكل عام في البيئات المختلطة حيث يتم دمج BIND مع وحدات تحكم مجال Active Directory أو عندما يتم دمجها مع Samba.
تعود الثغرة الأمنية إلى خطأ في تنفيذ آلية تفاوض GSSAPI بسيطة وآمنة (SPNEGO) ، والتي يستخدمها GSSAPI للتفاوض حول طرق الحماية المستخدمة من قبل العميل والخادم. يتم استخدام GSSAPI كبروتوكول عالي المستوى للتبادل الآمن للمفاتيح باستخدام امتداد GSS-TSIG ، والذي يستخدم لمصادقة التحديثات الديناميكية في مناطق DNS.
تكون خوادم BIND ضعيفة إذا كانت تعمل بإصدار متأثر وتم تكوينها لاستخدام وظائف GSS-TSIG. في التكوين الذي يستخدم تكوين BIND الافتراضي ، لا يتم الكشف عن مسار التعليمات البرمجية المعرضة للخطر ، ولكن يمكن جعل الخادم ضعيفًا عن طريق تعيين قيم خيارات التكوين tkey-gssapi-keytabo بشكل صريح tkey-gssapi.
على الرغم من أن التكوين الافتراضي ليس ضعيفًا ، إلا أن GSS-TSIG يستخدم بشكل متكرر في الشبكات التي يتم فيها دمج BIND مع Samba ، وكذلك في بيئات الخادم المختلطة التي تجمع بين خوادم BIND ووحدات التحكم في مجال Active Directory. بالنسبة للخوادم التي تستوفي هذه الشروط ، يكون تنفيذ ISC SPNEGO عرضة للهجمات المختلفة ، اعتمادًا على بنية وحدة المعالجة المركزية التي تم إنشاء BIND من أجلها:
نظرًا لوجود ثغرات أمنية خطيرة في تطبيق SPNEGO الداخلي وما قبله ، تمت إزالة تنفيذ هذا البروتوكول من قاعدة رموز BIND 9. بالنسبة للمستخدمين الذين يحتاجون إلى دعم SPNEGO ، يوصى باستخدام تطبيق خارجي توفره المكتبة من GSSAPI النظام (متاح من MIT Kerberos و Heimdal Kerberos).
أما بالنسبة للثغرات الأخرى التي تم حلها بإصدار هذا الإصدار التصحيحي الجديد نذكر ما يلي:
- CVE-2021-25215: تتوقف العملية المسماة عند معالجة سجلات DNAME (بعض النطاقات الفرعية تعالج إعادة التوجيه) ، مما يؤدي إلى إضافة التكرارات إلى قسم الإجابة. لاستغلال الثغرة الأمنية في خوادم DNS الرسمية ، يلزم إجراء تغييرات على مناطق DNS المعالجة ، وبالنسبة للخوادم التكرارية ، يمكن الحصول على سجل إشكالي بعد الاتصال بالخادم الموثوق.
- CVE-2021-25214: حظر العملية المسماة عند معالجة طلب IXFR وارد تم تكوينه خصيصًا (يُستخدم للنقل المتزايد للتغييرات في مناطق DNS بين خوادم DNS). تتأثر فقط الأنظمة التي سمحت بنقل منطقة DNS من خادم المهاجم بالمشكلة (تُستخدم عمليات نقل المنطقة عادةً لمزامنة الخوادم الرئيسية والخوادم التابعة ويسمح بها بشكل انتقائي فقط للخوادم الموثوقة). كحل بديل ، يمكنك تعطيل دعم IXFR باستخدام إعداد "request-ixfr no".
يمكن لمستخدمي الإصدارات السابقة من BIND ، كحل لمنع المشكلة ، تعطيل GSS-TSIG في الإعداد أو إعادة إنشاء BIND بدون دعم SPNEGO.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول إصدار هذه الإصدارات التصحيحية الجديدة أو حول الثغرات الأمنية التي تم إصلاحها ، يمكنك التحقق من التفاصيل بالذهاب إلى الرابط التالي.