Před několika dnyBylo vydáno nové opravné verze DNS BIND stabilních větví 9.11.31 a 9.16.15 a je také ve vývoji experimentálních větví 9.17.12, jedná se o nejběžněji používaný server DNS na internetu a používá se zejména na unixových systémech, ve kterých se jedná o standardní a je sponzorováno konsorciem Internet Systems Consortium.
V publikaci nových verzí je uvedeno, že hlavním záměrem je opravit tři chyby zabezpečení, jeden z nich (CVE-2021-25216) způsobuje přetečení vyrovnávací paměti.
Uvádí se, že na 32bitových systémech tuto chybu zabezpečení lze zneužít ke vzdálenému spuštění kódu který byl navržen útočníkem zasláním speciálně vytvořeného požadavku GSS-TSIG, zatímco u 64bitových systémů je problém omezen na blokování pojmenovaného procesu.
Problém projevuje se pouze při aktivovaném mechanismu GSS-TSIG, který je aktivován nastavením tkey-gssapi-keytab a tkey-gssapi-credential. GSS-TSIG je ve výchozím nastavení zakázán a obvykle se používá ve smíšených prostředích, kde je BIND kombinován s řadiči domény Active Directory nebo je integrován se Sambou.
Tato chyba zabezpečení je způsobena chybou při implementaci mechanismu vyjednávání GSSAPI Jednoduché a bezpečné (SPNEGO), které GSSAPI používá k vyjednání metod ochrany používaných klientem a serverem. GSSAPI se používá jako protokol na vysoké úrovni pro bezpečnou výměnu klíčů pomocí rozšíření GSS-TSIG, které se používá k ověřování dynamických aktualizací v zónách DNS.
Servery BIND jsou zranitelné, pokud používají ohroženou verzi a jsou nakonfigurovány pro použití funkcí GSS-TSIG. V konfiguraci, která používá výchozí konfiguraci BIND, není vystavena cesta zranitelného kódu, ale server může být zranitelný explicitním nastavením hodnot pro možnosti konfigurace tkey-gssapi-keytabo tkey-gssapi-credential.
Ačkoli výchozí nastavení nejsou zranitelná, GSS-TSIG se často používá v sítích, kde je BIND integrován se Sambou, stejně jako v prostředích smíšených serverů, které kombinují servery BIND s řadiči domény Active Directory. U serverů, které splňují tyto podmínky, je implementace ISC SPNEGO zranitelná různými útoky, v závislosti na architektuře CPU, pro kterou byl BIND vytvořen:
Vzhledem k tomu, že kritické chyby zabezpečení v interní implementaci SPNEGO byly nalezeny i dříve, je implementace tohoto protokolu odstraněna z kódové základny BIND 9. Pro uživatele, kteří potřebují podporovat SPNEGO, se doporučuje použít externí aplikaci poskytovanou knihovnou z GSSAPI systém (k dispozici od MIT Kerberos a Heimdal Kerberos).
Pokud jde o další dvě chyby zabezpečení které byly vyřešeny vydáním této nové opravné verze, jsou zmíněny následující:
- CVE-2021-25215: Pojmenovaný proces zablokuje při zpracování záznamů DNAME (některé přesměrování zpracování subdomén), což vede k přidání duplikátů do sekce ODPOVĚĎ. Aby bylo možné tuto chybu zabezpečení zneužít na autoritativních serverech DNS, je nutné provést změny ve zpracovávaných zónách DNS a u rekurzivních serverů lze po kontaktování autoritativního serveru získat problematický záznam.
- CVE-2021-25214: Pojmenované blokování procesu při zpracování speciálně vytvořeného příchozího požadavku IXFR (používá se pro přírůstkový přenos změn v zónách DNS mezi servery DNS). Problémem jsou ovlivněny pouze systémy, které povolily přenosy zón DNS ze serveru útočníka (přenosy zón se obvykle používají k synchronizaci hlavních a podřízených serverů a jsou selektivně povoleny pouze pro důvěryhodné servery). Jako řešení můžete zakázat podporu IXFR s nastavením „request-ixfr no“.
Uživatelé předchozích verzí BIND mohou jako řešení blokování problému deaktivovat GSS-TSIG v nastavení nebo znovu sestavit BIND bez podpory SPNEGO.
Konečně pokud máte zájem o tom vědět více o vydání těchto nových opravných verzí nebo o opravených zranitelnostech můžete zkontrolovat podrobnosti přechodem na následující odkaz.