Οι νέες ενημερώσεις DNS BIND αντιμετωπίζουν μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα

Πριν από αρκετές ημέρεςs κυκλοφόρησε η κυκλοφορία νέων διορθωτικών εκδόσεων DNS BIND των σταθερών κλάδων 9.11.31 και 9.16.15 και βρίσκεται επίσης στην ανάπτυξη των πειραματικών κλάδων 9.17.12, αυτός είναι ο συνηθέστερα χρησιμοποιούμενος διακομιστής DNS στο Διαδίκτυο και χρησιμοποιείται ιδιαίτερα σε συστήματα Unix, στα οποία είναι ένα πρότυπο και χρηματοδοτείται από το Internet Systems Consortium.

Στη δημοσίευση των νέων εκδόσεων αναφέρεται ότι η κύρια πρόθεση είναι να διορθωθούν τρεις ευπάθειες, ένα από τα οποία (CVE-2021-25216) προκαλεί υπερχείλιση buffer.

Αναφέρεται ότι σε συστήματα 32-bit, η ευπάθεια θα μπορούσε να αξιοποιηθεί για την εκτέλεση κώδικα από απόσταση που σχεδιάστηκε από τον εισβολέα στέλνοντας ένα ειδικά κατασκευασμένο αίτημα GSS-TSIG, ενώ για συστήματα 64-bit, το πρόβλημα περιορίζεται στο αποκλεισμό της διαδικασίας που ονομάζεται.

το πρόβλημα εκδηλώνεται μόνο όταν είναι ενεργοποιημένος ο μηχανισμός GSS-TSIG, το οποίο ενεργοποιείται από τις ρυθμίσεις διαπιστευτηρίων tkey-gssapi-keytab και tkey-gssapi. Το GSS-TSIG είναι απενεργοποιημένο από προεπιλογή και χρησιμοποιείται γενικά σε μικτά περιβάλλοντα όπου το BIND συνδυάζεται με ελεγκτές τομέα Active Directory ή όταν είναι ενσωματωμένο στο Samba.

Η ευπάθεια οφείλεται σε σφάλμα κατά την εφαρμογή του μηχανισμού διαπραγμάτευσης GSSAPI Simple and Secure (SPNEGO), το οποίο χρησιμοποιεί το GSSAPI για να διαπραγματευτεί τις μεθόδους προστασίας που χρησιμοποιεί ο πελάτης και ο διακομιστής. Το GSSAPI χρησιμοποιείται ως πρωτόκολλο υψηλού επιπέδου για ασφαλή ανταλλαγή κλειδιών χρησιμοποιώντας την επέκταση GSS-TSIG, η οποία χρησιμοποιείται για τον έλεγχο ταυτότητας δυναμικών ενημερώσεων σε ζώνες DNS.

Οι διακομιστές BIND είναι ευάλωτοι εάν εκτελούν μια επηρεαζόμενη έκδοση και έχουν ρυθμιστεί να χρησιμοποιούν τις λειτουργίες GSS-TSIG. Σε μια διαμόρφωση που χρησιμοποιεί την προεπιλεγμένη ρύθμιση παραμέτρων BIND, η διαδρομή του ευάλωτου κώδικα δεν εκτίθεται, αλλά ένας διακομιστής μπορεί να γίνει ευάλωτος ορίζοντας ρητά τιμές για τις επιλογές διαμόρφωσης tkey-gssapi-keytabo tkey-gssapi-διαπιστευτήριο.

Αν και η προεπιλεγμένη διαμόρφωση δεν είναι ευάλωτη, το GSS-TSIG χρησιμοποιείται συχνά σε δίκτυα όπου το BIND είναι ενσωματωμένο στο Samba, καθώς και σε περιβάλλοντα μεικτών διακομιστών που συνδυάζουν διακομιστές BIND με ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory. Για διακομιστές που πληρούν αυτές τις προϋποθέσεις, η εφαρμογή ISC SPNEGO είναι ευάλωτη σε διάφορες επιθέσεις, ανάλογα με την αρχιτεκτονική της CPU για την οποία δημιουργήθηκε το BIND:

Δεδομένου ότι βρέθηκαν οι κρίσιμες ευπάθειες στην εσωτερική εφαρμογή SPNEGO και νωρίτερα, η εφαρμογή αυτού του πρωτοκόλλου καταργείται από τη βάση κώδικα BIND 9. Για χρήστες που πρέπει να υποστηρίξουν το SPNEGO, συνιστάται να χρησιμοποιήσετε μια εξωτερική εφαρμογή που παρέχεται από τη βιβλιοθήκη από το GSSAPI σύστημα (διαθέσιμο από το MIT Kerberos και το Heimdal Kerberos).

Όσον αφορά τις άλλες δύο ευπάθειες που επιλύθηκαν με την κυκλοφορία αυτής της νέας διορθωτικής έκδοσης, αναφέρονται τα εξής:

  • CVE-2021-25215: Η ονομασία διεργασίας κολλάει κατά την επεξεργασία εγγραφών DNAME (ορισμένοι υποτομείς επεξεργασίας ανακατεύθυνσης), με αποτέλεσμα την προσθήκη διπλότυπων στην ενότητα ΑΠΑΝΤΗΣΗ. Για να εκμεταλλευτείτε την ευπάθεια σε έγκυρους διακομιστές DNS, απαιτούνται αλλαγές σε επεξεργασμένες ζώνες DNS και για αναδρομικούς διακομιστές, μπορεί να ληφθεί προβληματική εγγραφή μετά από επικοινωνία με τον επίσημο διακομιστή.
  • CVE-2021-25214: Ονομασία αποκλεισμού διαδικασίας κατά την επεξεργασία ενός ειδικά διαμορφωμένου εισερχόμενου αιτήματος IXFR (χρησιμοποιείται για αυξητική μεταφορά αλλαγών στις ζώνες DNS μεταξύ διακομιστών DNS). Μόνο συστήματα που έχουν επιτρέψει μεταφορές ζώνης DNS από το διακομιστή του εισβολέα επηρεάζονται από το πρόβλημα (οι μεταφορές ζώνης χρησιμοποιούνται συνήθως για το συγχρονισμό κεντρικών και υποτελών διακομιστών και επιτρέπονται επιλεκτικά μόνο για αξιόπιστους διακομιστές) Ως λύση, μπορείτε να απενεργοποιήσετε την υποστήριξη IXFR με τη ρύθμιση "request-ixfr no".

Οι χρήστες προηγούμενων εκδόσεων του BIND, ως λύση για τον αποκλεισμό του προβλήματος, μπορούν να απενεργοποιήσουν το GSS-TSIG κατά την εγκατάσταση ή ανοικοδόμηση του BIND χωρίς υποστήριξη SPNEGO.

Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με την κυκλοφορία αυτών των νέων διορθωτικών εκδόσεων ή σχετικά με τα διορθωμένα τρωτά σημεία, μπορείτε να ελέγξετε τις λεπτομέρειες μεταβαίνοντας στον παρακάτω σύνδεσμο.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.