Ja fa diversos diess es va donar a conèixer l'alliberament de les noves versions correctives de DNS BIND de les branques estables 9.11.31 i 9.16.15 i també es troba en el desenvolupament de les branques experimentals 9.17.12, aquest és el servidor de DNS més comunament usat en Internet i especialment usat en sistemes Unix, en els quals és un estàndard i és patrocinat per la Internet Systems Consortium.
En la publicació realitzada de les noves versions s'esmenta que la intenció principal és el corregir tres vulnerabilitats, una de les quals (CVE-2021-25216) provoca un desbordament de la memòria intermèdia.
S'esmenta que en els sistemes de 32 bits, la vulnerabilitat podria aprofitar-se per executar de forma remota el codi que fos dissenyat per l'atacant mitjançant l'enviament d'una sol·licitud GSS-TSIG especialment dissenyada, mentre que per a sistemes de 64 bits, el problema es limita a el bloqueig de l'procés nomenat.
el problema es manifesta només quan el mecanisme GSS-TSIG està habilitat, que s'activa mitjançant la configuració tkey-GSSAPI-keytab i tkey-GSSAPI-Credential. GSS-TSIG està deshabilitat per defecte i generalment s'usa en entorns mixtos on BIND es combina amb controladors de domini d'Active Directory o quan s'integra amb Samba.
La vulnerabilitat es deu a un error en la implementació de l'Mecanisme de negociació GSSAPI simple i protegit (SPNEGO), que GSSAPI s'utilitza per negociar els mètodes de protecció utilitzats pel client i el servidor. GSSAPI s'utilitza com a protocol d'alt nivell per a l'intercanvi segur de claus mitjançant l'extensió GSS-TSIG, que s'utilitza per autenticar actualitzacions dinàmiques en zones DNS.
Els servidors BIND són vulnerables si executen una versió afectada i estan configurats per utilitzar les funcions GSS-TSIG. En una configuració que utilitza la configuració per defecte de BIND, la ruta de l'codi vulnerable no està exposada, però un servidor pot tornar-se vulnerable establint explícitament valors per a les opcions de configuració tkey-GSSAPI-keytabo tkey-GSSAPI-Credential.
Tot i que la configuració per omissió no és vulnerable, GSS-TSIG s'usa amb freqüència en xarxes on BIND està integrat amb Samba, així com en entorns de servidors mixtes que combinen servidors BIND amb controladors de domini d'Active Directory. Per als servidors que compleixen aquestes condicions, la implementació d'ISC SPNEGO és vulnerable a diversos atacs, depenent de l'arquitectura de la CPU per la qual es va crear BIND:
Atès que les vulnerabilitats crítiques en la implementació interna de SPNEGO van trobar i anterior, la implementació d'aquest protocol s'elimina de la base de codi de BIND 9. Per als usuaris que necessiten per donar suport SPNEGO, es recomana utilitzar una aplicació externa proporcionada per la biblioteca de sistema GSSAPI (disponible a MIT Kerberos i Heimdal Kerberos).
Pel que fa a les altres dues vulnerabilitats que van ser solucionades amb l'alliberament d'aquesta nova versió correctiva, s'esmenten les següents:
- CVE-2021-25215: bloqueig de l'procés amb nom a l'processar registres DNAME (redireccionament de el processament d'alguns subdominis), el que porta a l'addició de duplicats a la secció RESPOSTA. Per aprofitar la vulnerabilitat en els servidors DNS autoritzats, es requereixen canvis en les zones DNS processades i, per als servidors recursius, es pot obtenir un registre problemàtic després de contactar a servidor autoritzat.
- CVE-2021-25214: bloqueig de l'procés amb nom a l'processar una sol·licitud IXFR entrant especialment formada (utilitzada per a la transferència incremental de canvis en zones DNS entre servidors DNS). Només els sistemes que han permès transferències de zona DNS des del servidor de l'atacant es veuen afectats pel problema (les transferències de zona s'utilitzen normalment per sincronitzar servidors mestre i esclau i es permeten de forma selectiva només per a servidors de confiança). Com a solució alternativa, pot desactivar la compatibilitat amb IXFR amb la configuració «request-ixfr no».
Els usuaris de versions anteriors de BIND, com una solució per bloquejar el problema, poden desactivar GSS-TSIG en la configuració o reconstruir BIND sense el suport de SPNEGO.
Finalment si estàs interessat en conèixer més a l'respecte sobre l'alliberament d'aquestes noves versions correctives o sobre les vulnerabilitats solucionades, pots consultar els detalls dirigint-te a el següent enllaç.