Prije nekoliko danas najavljeno je izdavanje novih korektivnih verzija DNS BIND-a od stabilnih grana 9.11.31 i 9.16.15, a nalazi se iu razvoju eksperimentalnih grana 9.17.12, ovo je najčešće korišćeni DNS server na Internetu i posebno se koristi na Unix sistemima, u kojima je standard a sponzorira ga Konzorcij Internet Systems.
U objavljivanju novih verzija pominje se da je glavna namjera da se isprave tri ranjivosti, od kojih jedan (CVE-2021-25216) uzrokuje prelijevanje bafera.
Spominje se da na 32-bitnim sistemima, ranjivost bi se mogla iskoristiti za daljinsko izvršavanje koda koji je kreirao napadač slanjem posebno kreiranog GSS-TSIG zahtjeva, dok je za 64-bitne sisteme problem ograničen na blokiranje imenovanog procesa.
problem manifestuje se samo kada je mehanizam GSS-TSIG omogućen, što je omogućeno postavkama key-gssapi-keytab i tkey-gssapi-credential. GSS-TSIG je podrazumevano onemogućen i obično se koristi u mešovitim okruženjima gde je BIND kombinovan sa Active Directory domenskim kontrolerima ili kada je integrisan sa Sambom.
Ranjivost je uzrokovana greškom u implementaciji GSSAPI pregovaračkog mehanizma jednostavan i zaštićen (SPNEGO), koji GSSAPI koristi za pregovaranje o metodama zaštite koje koriste klijent i server. GSSAPI se koristi kao protokol visokog nivoa za sigurnu razmjenu ključeva pomoću ekstenzije GSS-TSIG, koja se koristi za autentifikaciju dinamičkih ažuriranja DNS zona.
BIND serveri su ranjivi ako pokreću zahvaćenu verziju i konfigurirani su da koriste GSS-TSIG funkcije. U konfiguraciji koja koristi zadanu BIND konfiguraciju, ranjivi put koda nije izložen, ali server se može učiniti ranjivim eksplicitnim postavljanjem vrijednosti za opcije konfiguracije tkey-gssapi-keytab ili tkey-gssapi-credential.
Iako podrazumevana konfiguracija nije ranjiva, GSS-TSIG se često koristi u mrežama gde je BIND integrisan sa Sambom, kao iu mešovitim serverskim okruženjima koja kombinuju BIND servere sa Active Directory domenskim kontrolerima. Za servere koji ispunjavaju ove uslove, implementacija ISC SPNEGO je ranjiva na nekoliko napada, u zavisnosti od CPU arhitekture za koju je kreiran BIND:
Budući da su kritične ranjivosti u internoj implementaciji SPNEGO pronađene i ranije, implementacija ovog protokola je uklonjena iz kodne baze BIND 9. Za korisnike koji trebaju podržavati SPNEGO, preporučuje se korištenje eksterne implementacije koju obezbjeđuje biblioteka. GSSAPI sistem (dostupan u MIT Kerberos i Heimdal Kerberos).
Što se tiče druge dvije ranjivosti koji su riješeni izdavanjem ove nove korektivne verzije, spominju se sljedeće:
- CVE-2021-25215: blokiranje imenovanog procesa prilikom obrade DNAME zapisa (preusmjeravanje obrade nekih poddomena), što dovodi do dodavanja duplikata u odjeljak RESPONSE. Iskorišćavanje ranjivosti na autoritativnim DNS serverima zahtijeva promjene u obrađenim DNS zonama, a za rekurzivne servere može se dobiti problematičan zapis nakon kontaktiranja ovlaštenog servera.
- CVE-2021-25214: blokiranje imenovanog procesa prilikom obrade posebno formiranog dolaznog IXFR zahtjeva (koristi se za inkrementalni prijenos promjena u DNS zonama između DNS servera). Problem utiče samo na sisteme koji su dozvolili transfer DNS zona sa servera napadača (prijenosi zona se obično koriste za sinhronizaciju glavnog i slave servera i selektivno su dozvoljeni samo za pouzdane servere). Kao zaobilazno rješenje, možete onemogućiti podršku za IXFR pomoću postavke “request-ixfr no”.
Korisnici starijih verzija BIND-a, kao rješenje za blokiranje problema, mogu onemogućiti GSS-TSIG u konfiguraciji ili ponovo izgradi BIND bez SPNEGO podrške.
Konačno ako ste zainteresirani da saznate više o tome o izdavanju ovih novih korektivnih verzija ili o ispravljenim ranjivostima, možete pogledati detalje odlaskom na sljedeći link.