বেশ কয়েকদিন আগেএর নতুন সংশোধনকারী ডিএনএস বিন্ড সংস্করণ প্রকাশিত হয়েছিল স্থিতিশীল শাখাগুলির 9.11.31 এবং 9.16.15 এবং পরীক্ষামূলক শাখাগুলির উন্নয়নেও রয়েছে 9.17.12, এটি ইন্টারনেটে সর্বাধিক ব্যবহৃত ডিএনএস সার্ভার এবং বিশেষত ইউনিক্স সিস্টেমগুলিতে ব্যবহৃত হয়, এটি মানক এবং ইন্টারনেট সিস্টেম কনসোর্টিয়াম দ্বারা স্পনসর করা হয়।
নতুন সংস্করণে প্রকাশের ক্ষেত্রে এটি উল্লেখ করা হয়েছে যে মূল উদ্দেশ্যটি তিনটি দুর্বলতা সংশোধন করা, যার মধ্যে একটি (সিভিই -2021-25216) বাফার ওভারফ্লো করে।
এটি উল্লেখ করা হয়েছে যে 32-বিট সিস্টেমে, দূরবর্তীভাবে কোড কার্যকর করতে দুর্বলতা কাজে লাগানো যেতে পারে যা আক্রমণকারী দ্বারা একটি বিশেষভাবে তৈরি করা জিএসএস-টিএসআইজি অনুরোধ প্রেরণ করে ডিজাইন করা হয়েছিল, যেখানে 64৪-বিট সিস্টেমের জন্য, সমস্যাটি নামকরণ প্রক্রিয়াটিকে অবরুদ্ধ করার মধ্যে সীমাবদ্ধ।
সমস্যা জিএসএস-টিএসআইজি প্রক্রিয়াটি সক্ষম থাকলেই নিজেকে প্রকাশ করে, যা টিকি-গেসাপি-কীতাব এবং টিকি-গেসাপি-শংসাপত্রের সেটিংস দ্বারা সক্রিয় করা হয়েছে। জিএসএস-টিএসআইজি ডিফল্টরূপে অক্ষম থাকে এবং সাধারণত মিশ্র পরিবেশে ব্যবহৃত হয় যেখানে অ্যাক্টিভ ডিরেক্টরি ডোমেন নিয়ন্ত্রকদের সাথে বিআইএনএনডি সংযুক্ত করা হয় বা যখন এটি সাম্বার সাথে সংহত করা হয়।
জিএসএসএপিআই নেগোসিয়েশন মেকানিজম বাস্তবায়নে ত্রুটির কারণে দুর্বলতা সিম্পল অ্যান্ড সিকিউর (এসপিএনইজিও), যা জিএসএসএপিআই ক্লায়েন্ট এবং সার্ভার দ্বারা ব্যবহৃত সুরক্ষা পদ্ধতিগুলি আলোচনার জন্য ব্যবহার করে। জিএসএসএপিআই জিএসএস-টিএসআইজি এক্সটেনশন ব্যবহার করে সুরক্ষিত কী এক্সচেঞ্জের জন্য একটি উচ্চ-স্তরের প্রোটোকল হিসাবে ব্যবহৃত হয়, যা ডিএনএস জোনে গতিশীল আপডেটগুলি প্রমাণীকরণ করতে ব্যবহৃত হয়।
BIND সার্ভারগুলি যদি আক্রান্ত সংস্করণটি চালিত হয় এবং জিএসএস-টিএসআইজি ফাংশনগুলি ব্যবহার করতে কনফিগার করা থাকে তবে তারা দুর্বল। ডিফল্ট BIND কনফিগারেশন ব্যবহার করে এমন একটি কনফিগারেশনে, দুর্বল কোডের পথটি উন্মুক্ত হয় না, তবে টকি-গেসাপি-কিটাবো কনফিগারেশন বিকল্পগুলির জন্য টকি-গেসাপি-শংসাপত্রের জন্য স্পষ্টভাবে মান সেট করে একটি সার্ভারকে দুর্বল করা যায়।
যদিও ডিফল্ট সেটিংসটি ঝুঁকিপূর্ণ নয়, জিএসএস-টিএসআইজি প্রায়শই এমন নেটওয়ার্কগুলিতে ব্যবহৃত হয় যেখানে BIND সাম্বার সাথে সংহত করা হয়, পাশাপাশি অ্যাক্টিভ ডিরেক্টরি ডোমেন নিয়ন্ত্রকদের সাথে BIND সার্ভারগুলিকে সংযুক্ত করে এমন মিশ্র সার্ভার পরিবেশে ব্যবহার করা হয়। এই শর্তগুলি পূরণ করে এমন সার্ভারগুলির জন্য, বিসিএনডি নির্মিত সিপিইউ আর্কিটেকচারের উপর নির্ভর করে আইএসসি এসপিএনইজিও বাস্তবায়ন বিভিন্ন আক্রমণে ঝুঁকিপূর্ণ:
যেহেতু অভ্যন্তরীণ এসপিএনইজিও বাস্তবায়নের গুরুত্বপূর্ণ দুর্বলতাগুলি পাওয়া গেছে এবং এর আগে, এই প্রোটোকলটির প্রয়োগটি BIND 9 কোড বেস থেকে সরানো হয়েছে users যে সকল ব্যবহারকারীকে এসপিএনইজিও সমর্থন করতে হবে তাদের জন্য, জিএসএসএপিআই থেকে লাইব্রেরি দ্বারা সরবরাহ করা একটি বাহ্যিক অ্যাপ্লিকেশন ব্যবহার করার পরামর্শ দেওয়া হচ্ছে সিস্টেম (এমআইটি কার্বেরোস এবং হিমডাল কার্বেরোস থেকে উপলব্ধ)।
অন্য দুর্বলতা হিসাবে যেগুলি এই নতুন সংশোধক সংস্করণ প্রকাশের সাথে সমাধান করা হয়েছিল, নিম্নলিখিতটি উল্লেখ করা হয়েছে:
- সিভিই -2021-25215: DNAME রেকর্ডগুলি প্রক্রিয়া করার সময় নামকরণ প্রক্রিয়াটি হ্যাং হয় (কিছু সাবডোমেন প্রক্রিয়াকরণ পুনঃনির্দেশ), যা ANSWER বিভাগে সদৃশ যুক্ত করে। অনুমোদনযোগ্য ডিএনএস সার্ভারগুলিতে দুর্বলতা কাজে লাগাতে, ডিএনএস অঞ্চল প্রক্রিয়াজাতকরণে পরিবর্তনগুলি প্রয়োজন, এবং পুনরাবৃত্ত হওয়া সার্ভারগুলির জন্য, অনুমোদিত সার্ভারের সাথে যোগাযোগ করার পরে একটি সমস্যাযুক্ত রেকর্ড পাওয়া যায়।
- সিভিই -2021-25214: একটি বিশেষভাবে গঠিত আগত আইএক্সএফআর অনুরোধ (ডিএনএস সার্ভারের মধ্যে ডিএনএস জোনে পরিবর্তনগুলির ক্রমবর্ধমান স্থানান্তরের জন্য ব্যবহৃত হয়) প্রক্রিয়া করার সময় নামকরণ করা প্রক্রিয়াটিকে ব্লক করা। আক্রমণকারীদের সার্ভার থেকে ডিএনএস জোন স্থানান্তরকে মঞ্জুরি দিয়েছে এমন সিস্টেমগুলিই সমস্যা দ্বারা প্রভাবিত হয় (জোন স্থানান্তর সাধারণত মাস্টার এবং স্লেভ সার্ভারগুলি সিঙ্ক্রোনাইজ করতে ব্যবহৃত হয় এবং কেবলমাত্র বিশ্বস্ত সার্ভারের জন্য নির্বাচিতভাবে অনুমোদিত হয়)। কার্যকারণ হিসাবে, আপনি "অনুরোধ-ixfr না" সেটিংসের সাহায্যে IXFR সমর্থন অক্ষম করতে পারেন।
BIND- র পূর্ববর্তী সংস্করণগুলির ব্যবহারকারীরা, সমস্যাটি ব্লক করার সমাধান হিসাবে, জিএসএস-টিএসআইজি অক্ষম করতে পারেন সেট আপ বা SPIEGO সমর্থন ব্যতীত BIND পুনর্নির্মাণ।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন এই নতুন সংশোধনযোগ্য সংস্করণগুলির প্রকাশ সম্পর্কে বা নির্ধারিত দুর্বলতার বিষয়ে, আপনি বিশদটি পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্কে গিয়ে।