For flere dage sidens frigivelsen af nye korrigerende DNS BIND-versioner blev frigivet af de stabile grene 9.11.31 og 9.16.15 og er også under udvikling af de eksperimentelle grene 9.17.12, er dette den mest anvendte DNS-server på Internettet og især brugt på Unix-systemer, hvor den er en standard og er sponsoreret af Internet Systems Consortium.
I offentliggørelsen af de nye versioner nævnes det, at hovedintentionen er at rette op på tre sårbarheder, hvoraf den ene (CVE-2021-25216) forårsager et bufferoverløb.
Det nævnes, at på 32-bit systemer, sårbarheden kunne udnyttes til ekstern kørsel af kode der blev designet af angriberen ved at sende en specielt udformet GSS-TSIG-anmodning, mens problemet for 64-bit-systemer er begrænset til at blokere den navngivne proces.
Problemet manifesterer sig kun, når GSS-TSIG-mekanismen er aktiveret, som aktiveres af indstillingerne tkey-gssapi-keytab og tkey-gssapi-credential. GSS-TSIG er deaktiveret som standard og bruges normalt i blandede miljøer, hvor BIND kombineres med Active Directory-domænekontrollere, eller når den er integreret med Samba.
Sårbarheden skyldes en fejl i implementeringen af GSSAPI-forhandlingsmekanismen Simple and Secure (SPNEGO), som GSSAPI bruger til at forhandle de beskyttelsesmetoder, der bruges af klienten og serveren. GSSAPI bruges som en protokol på højt niveau til sikker nøgleudveksling ved hjælp af GSS-TSIG-udvidelsen, som bruges til at godkende dynamiske opdateringer i DNS-zoner.
BIND-servere er sårbare, hvis de kører en berørt version og konfigureret til at bruge GSS-TSIG-funktionerne. I en konfiguration, der bruger standard BIND-konfigurationen, vises stien til den sårbare kode ikke, men en server kan gøres sårbar ved eksplicit at indstille værdier for konfigurationsindstillingerne for tkey-gssapi-keytabo tkey-gssapi-legitimationsoplysninger.
Selvom standardindstillingerne ikke er sårbare, bruges GSS-TSIG ofte i netværk, hvor BIND er integreret med Samba såvel som i blandede servermiljøer, der kombinerer BIND-servere med Active Directory-domænecontrollere. For servere, der opfylder disse betingelser, er ISC SPNEGO-implementeringen sårbar over for forskellige angreb, afhængigt af CPU-arkitekturen, som BIND blev bygget til:
Da de kritiske sårbarheder i den interne SPNEGO-implementering er fundet og tidligere, fjernes implementeringen af denne protokol fra BIND 9.-kodebasen. For brugere, der har brug for at understøtte SPNEGO, anbefales det at bruge en ekstern applikation fra biblioteket fra GSSAPI system (fås fra MIT Kerberos og Heimdal Kerberos).
Hvad angår de to andre sårbarheder der blev løst med frigivelsen af denne nye korrigerende version, nævnes følgende:
- CVE-2021-25215: Navngivet proces hænger ved behandling af DNAME-poster (nogle underdomæner behandler omdirigering), hvilket fører til tilføjelse af dubletter til ANSWER-sektionen. For at udnytte sårbarheden i autoritative DNS-servere kræves der ændringer i behandlede DNS-zoner, og for rekursive servere kan der opnås en problematisk post efter kontakt med den autoritative server.
- CVE-2021-25214: Navngivet procesblokering ved behandling af en specielt dannet indgående IXFR-anmodning (bruges til trinvis overførsel af ændringer i DNS-zoner mellem DNS-servere). Kun systemer, der har tilladt DNS-zoneoverførsler fra angriberens server, påvirkes af problemet (zoneoverførsler bruges typisk til at synkronisere master- og slaveservere og er kun selektivt tilladt for betroede servere). Som en løsning kan du deaktivere IXFR-understøttelse med indstillingen "request-ixfr no".
Brugere af tidligere versioner af BIND kan, som en løsning til at blokere problemet, deaktivere GSS-TSIG i opsætning eller genopbygning af BIND uden SPNEGO-support.
Endelig hvis du er interesseret i at vide mere om det om udgivelsen af disse nye korrigerende versioner eller om de sårbarheder, der er løst, kan du kontrollere detaljerne ved at gå til følgende link.