DNS BIND eguneratze berriek urruneko kodea exekutatzearen ahultasunari aurre egiten diote

Duela zenbait eguns DNS BIND bertsio zuzentzaile berriak kaleratu ziren 9.11.31 eta 9.16.15 adar egonkorren artean eta 9.17.12 adar esperimentalen garapenean ere badago, hau da Interneteko DNS zerbitzaririk erabiliena eta bereziki Unix sistemetan erabiltzen dena, zeinetan estandarra den eta Internet Systems Consortium-ek babesten du.

Bertsio berrien argitalpenean aipatzen da asmo nagusia hiru ahultasun zuzentzea dela, horietako batek (CVE-2021-25216) buffer gainezkatzea eragiten du.

32 bit-eko sistemetan, zaurgarritasuna kodea urrunetik exekutatzeko balia liteke hori erasotzaileak diseinatu du bereziki landutako GSS-TSIG eskaera bat bidaliz, aldiz, 64 biteko sistemetan arazoa izendatutako prozesua blokeatzera mugatzen da.

Arazoa GSS-TSIG mekanismoa gaituta dagoenean bakarrik agertzen da, hau da, tkey-gssapi-keytab eta tkey-gssapi-credential ezarpenek aktibatzen dute. GSS-TSIG lehenespenez desgaituta dago eta normalean ingurune mistoetan erabiltzen da, non BIND Active Directory domeinu kontrolagailuekin konbinatzen den edo Samba-rekin integratuta dagoenean.

Ahultasuna GSSAPI Negoziazio Mekanismoa ezartzean gertatu den akats baten ondorioz dago Sinplea eta segurua (SPNEGO), GSSAPI-k bezeroak eta zerbitzariak erabiltzen dituzten babes metodoak negoziatzeko erabiltzen duena. GSSAPI goi mailako protokolo gisa erabiltzen da gakoen truke segurua GSS-TSIG luzapena erabiliz, DNS zonetako eguneratze dinamikoak autentifikatzeko erabiltzen dena.

BIND zerbitzariak ahulak dira kaltetutako bertsioa exekutatzen badute eta GSS-TSIG funtzioak erabiltzeko konfiguratuta badaude. BIND konfigurazio lehenetsia erabiltzen duen konfigurazioan, kode ahularen bidea ez da agerian jartzen, baina zerbitzari bat zaurgarri bihur daiteke tkey-gssapi-keytabo konfigurazio aukeren tkey-gssapi-kredentzialaren balioak zehaztuz.

Konfigurazio lehenetsia ahula ez bada ere, GSS-TSIG maiz erabiltzen da BIND Samba-rekin integratuta dagoen sareetan, baita BIND zerbitzariak Active Directory domeinu kontrolagailuekin konbinatzen dituzten zerbitzari ingurune mistoetan ere. Baldintza hauek betetzen dituzten zerbitzarietarako, ISC SPNEGO inplementazioa hainbat eraso jasan dezake, BIND eraiki den CPU arkitekturaren arabera:

Barne SPNEGO inplementazioan dauden eta lehenagoko ahultasun larriak aurkitu direnez, protokolo honen inplementazioa BIND 9 kode oinarritik kentzen da. SPNEGO onartzen duten erabiltzaileei gomendatzen zaie liburutegiak GSSAPI-k emandako kanpoko aplikazioa erabiltzea. sistema (MIT Kerberos eta Heimdal Kerberos-en eskura dago).

Beste bi ahultasunei dagokienez bertsio zuzentzaile berri hau kaleratzean konpondu zirenak, honako hauek aipatzen dira:

  • CVE-2021-25215: Izendatutako prozesua zintzilikatzen da DNAME erregistroak prozesatzean (azpidomeinu batzuk birbideratzea prozesatzen dute), ERANTZUNA atalean bikoiztuak gehituz. Autoritatezko DNS zerbitzarietan zaurgarritasuna aprobetxatzeko, prozesatutako DNS zonetan aldaketak egin behar dira eta zerbitzari errekurtsiboetarako, erregistro problematikoa lor daiteke zerbitzari autoritarioarekin harremanetan jarri ondoren.
  • CVE-2021-25214: Prozesuaren blokeoa bereziki sortutako IXFR eskaera prozesatzerakoan (DNS zerbitzarien arteko DNS zonetako aldaketak modu inkrementalean transferitzeko erabiltzen da). Erasotzailearen zerbitzaritik DNS zona transferentziak baimendu dituzten sistemek soilik eragiten dute arazoa (zona transferentziak zerbitzari maisu eta esklaboak sinkronizatzeko erabiltzen dira normalean eta zerbitzari fidagarrietarako soilik onartzen dira). Konponbide gisa, IXFR euskarria desgaitu dezakezu "request-ixfr no" ezarpenarekin.

BIND-en aurreko bertsioen erabiltzaileek, arazoa blokeatzeko irtenbide gisa, GSS-TSIG desgaitu dezakete konfigurazioan edo berriro eraikitzeko BIND SPNEGO laguntzarik gabe.

Bukatzeko horri buruz gehiago jakiteko interesa baduzu Bertsio zuzentzaile berri hauek kaleratzeari buruz edo konpontzen diren ahultasunei buruz, xehetasunak kontsulta ditzakezu honako estekara joanda.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

bool (egia)