Mitu päeva tagasis vabastati uued parandavad DNS BIND versioonid stabiilsetest harudest 9.11.31 ja 9.16.15 ning on ka eksperimentaalsete harude 9.17.12 väljatöötamisel, see on Internetis kõige sagedamini kasutatav DNS-server ja eriti Unixi süsteemides, kus see on standard ja toetab Interneti-süsteemide konsortsium.
Uute versioonide avaldamisel mainitakse, et peamine eesmärk on parandada kolm haavatavust, millest üks (CVE-2021-25216) põhjustab puhvri ülevoolu.
Mainitakse, et 32-bitistes süsteemides haavatavust saab kasutada koodi kaugtäitmiseks selle kujundas ründaja, saates spetsiaalselt loodud GSS-TSIG-i päringu, samas kui 64-bitiste süsteemide puhul piirdub probleem ainult nimetatud protsessi blokeerimisega.
probleem avaldub ainult siis, kui GSS-TSIG-mehhanism on lubatud, mis aktiveeritakse tkey-gssapi-keytab ja tkey-gssapi-mandaadi sätetega. GSS-TSIG on vaikimisi keelatud ja seda kasutatakse tavaliselt segakeskkondades, kus BIND on ühendatud Active Directory domeenikontrolleritega või kui see on integreeritud Sambaga.
Haavatavus on tingitud veast GSSAPI läbirääkimismehhanismi rakendamisel Lihtne ja turvaline (SPNEGO), mida GSSAPI kasutab kliendi ja serveri kasutatavate kaitsemeetodite üle läbirääkimiste pidamiseks. GSSAPI-d kasutatakse turvalise võtmevahetuse kõrgetasemelise protokollina GSS-TSIG laienduse abil, mida kasutatakse dünaamiliste värskenduste autentimiseks DNS-i tsoonides.
BIND-serverid on haavatavad, kui nad töötavad mõjutatud versiooniga ja konfigureeritud kasutama funktsioone GSS-TSIG. Konfiguratsioonis, mis kasutab vaikekonfiguratsiooni BIND, ei ole haavatav koodi tee nähtav, kuid serveri saab muuta haavatavaks, seadistades selgesõnaliselt seadistussuvandite tkey-gssapi-keytabo väärtused tkey-gssapi-credential.
Kuigi vaikekonfiguratsioon pole haavatav, kasutatakse GSS-TSIG-i sageli võrkudes, kus BIND on integreeritud Sambaga, samuti segaserverite keskkondades, kus BIND-serverid on ühendatud Active Directory domeenikontrolleritega. Nendele tingimustele vastavate serverite puhul on ISC SPNEGO juurutamine erinevate rünnakute suhtes haavatav, sõltuvalt protsessori arhitektuurist, mille jaoks BIND ehitati:
Kuna SPNEGO sisemise rakenduse kriitilised haavatavused on leitud ja varem, eemaldatakse selle protokolli juurutamine BIND 9 koodibaasist. Kasutajatele, kes peavad toetama SPNEGO-d, on soovitatav kasutada välise rakenduse, mille pakub raamatukogu GSSAPI-st süsteem (saadaval MIT Kerberoselt ja Heimdal Kerberoselt).
Mis puudutab kahte ülejäänud haavatavust mis lahendati selle uue parandusversiooni väljaandmisega, mainitakse järgmist:
- CVE-2021-25215: Nimega protsess hangub DNAME kirjete töötlemisel (mõned alamdomeenid töötlevad ümbersuunamist), mille tulemuseks on duplikaatide lisamine jaotisesse VASTUS. Autentsete DNS-serverite haavatavuse ärakasutamiseks tuleb töödeldud DNS-i tsoonides muudatusi teha ja rekursiivsete serverite jaoks võib probleemse kirje hankida pärast autoriteetsesse serverisse pöördumist.
- CVE-2021-25214: Nimetatud protsessi blokeerimine spetsiaalselt moodustatud sissetuleva IXFR-päringu töötlemisel (kasutatakse DNS-tsoonide muudatuste järkjärguliseks ülekandmiseks DNS-serverite vahel). Probleem mõjutab ainult süsteeme, mis on lubanud ründaja serverist DNS-i tsooniedastusi (tsooniedastusi kasutatakse tavaliselt põhi- ja alamserverite sünkroonimiseks ning need on valikuliselt lubatud ainult usaldusväärsete serverite puhul). Lahendusena saate IXFR-i toe keelata seadega "request-ixfr no".
BIND eelmiste versioonide kasutajad saavad probleemi blokeerimise lahendusena GSS-TSIG-i keelata seadistamisel või BIND ümberehitamisel ilma SPNEGO toeta.
Lõpuks kui olete huvitatud sellest rohkem teada saama nende uute parandusversioonide väljaandmise või parandatud turvaaukude kohta saate vaadata üksikasju järgmisele lingile minnes.