به روزرسانی های جدید DNS BIND آسیب پذیری اجرای کد از راه دور را برطرف می کنند

چند روز پیشنسخه های اصلاحی جدید DNS BIND منتشر شد از شاخه های پایدار 9.11.31 و 9.16.15 و همچنین در حال توسعه شاخه های آزمایشی 9.17.12 است ، این بیشترین استفاده از سرور DNS در اینترنت و به ویژه در سیستم های Unix است که در آن یک استاندارد و توسط کنسرسیوم سیستم های اینترنتی حمایت مالی می شود.

در انتشار نسخه های جدید ، ذکر شده است که هدف اصلی اصلاح سه آسیب پذیری ، که یکی از آنها (CVE-2021-25216) باعث سرریز بافر می شود.

ذکر شده است که در سیستم های 32 بیتی ، از این آسیب پذیری می توان برای اجرای از راه دور کد استفاده کرد که توسط مهاجم با ارسال درخواست ویژه GSS-TSIG طراحی شده است ، در حالی که برای سیستمهای 64 بیتی ، مشکل محدود به مسدود کردن روند نامگذاری شده است.

مشکل تنها در صورت فعال بودن مکانیسم GSS-TSIG خود را نشان می دهد ، که توسط تنظیمات اعتبار نامه tkey-gssapi-keytab و tkey-gssapi فعال می شود. GSS-TSIG به طور پیش فرض غیرفعال است و به طور کلی در محیط های مختلط که BIND با کنترل کننده های دامنه Active Directory ترکیب شده یا با Samba تلفیق می شود ، مورد استفاده قرار می گیرد.

این آسیب پذیری به دلیل خطایی در اجرای مکانیسم مذاکره GSSAPI است Simple and Secure (SPNEGO) ، که GSSAPI از آن برای مذاکره در مورد روشهای حفاظت مورد استفاده مشتری و سرور استفاده می کند. GSSAPI به عنوان یک پروتکل سطح بالا برای مبادله کلید ایمن با استفاده از پسوند GSS-TSIG استفاده می شود ، که برای تأیید اعتبار به روزرسانی های پویا در مناطق DNS استفاده می شود.

سرورهای BIND اگر نسخه تحت تأثیر را اجرا کنند و برای استفاده از توابع GSS-TSIG پیکربندی شوند ، آسیب پذیر هستند. در پیکربندی که از پیکربندی پیش فرض BIND استفاده می کند ، مسیر کد آسیب پذیر آشکار نمی شود ، اما می توان با تنظیم صریح مقادیر برای اعتبارنامه tkey-gssapi-keytabo tkey-gssapi ، یک سرور را آسیب پذیر کرد.

اگرچه تنظیمات پیش فرض آسیب پذیر نیستند ، GSS-TSIG اغلب در شبکه هایی که BIND با Samba ادغام شده است و همچنین در محیط های مخلوط سرور که سرورهای BIND را با کنترل کننده های دامنه Active Directory ترکیب می کنند ، استفاده می شود. برای سرورهایی که این شرایط را دارند ، بسته به ساختار پردازنده ای که BIND برای آن ساخته شده است ، اجرای ISC SPNEGO در برابر حملات مختلف آسیب پذیر است:

از آنجا که آسیب پذیریهای اساسی در اجرای داخلی SPNEGO پیدا شده و قبل از آن ، اجرای این پروتکل از پایگاه کد BIND 9 حذف شده است. برای کاربرانی که نیاز به پشتیبانی از SPNEGO دارند ، توصیه می شود از یک برنامه خارجی ارائه شده توسط کتابخانه از GSSAPI استفاده کنید سیستم (موجود از MIT Kerberos و Heimdal Kerberos).

در مورد دو آسیب پذیری دیگر که با انتشار این نسخه اصلاحی جدید حل شده است ، موارد زیر ذکر شده است:

  • CVE-2021-25215: فرآیند نامگذاری شده هنگام پردازش رکوردهای DNAME قطع می شود (برخی از زیر دامنه ها تغییر مسیر می دهند) و منجر به اضافه شدن موارد تکراری به بخش ANSWER می شود. برای سو explo استفاده از آسیب پذیری در سرورهای معتبر DNS ، تغییراتی در مناطق پردازش شده DNS لازم است و برای سرورهای بازگشتی ، می توان پس از تماس با سرور معتبر ، سابقه مشکل ایجاد کرد.
  • CVE-2021-25214: مسدود کردن فرآیند با نامگذاری هنگام پردازش درخواست ورودی IXFR که به طور خاص تشکیل شده است (برای انتقال تغییرات تغییرات مناطق DNS بین سرورهای DNS استفاده می شود). فقط سیستم هایی که اجازه انتقال منطقه DNS از سرور مهاجم را دارند ، تحت تأثیر این مشکل قرار می گیرند (انتقال های منطقه معمولاً برای همگام سازی سرورهای اصلی و slave استفاده می شوند و به طور انتخابی فقط برای سرورهای معتبر مجاز هستند). به عنوان یک راه حل ، می توانید پشتیبانی IXFR را با تنظیم "request-ixfr no" غیرفعال کنید.

کاربران نسخه های قبلی BIND ، به عنوان یک راه حل برای جلوگیری از مشکل ، می توانند GSS-TSIG را غیرفعال کنند در نصب یا بازسازی BIND بدون پشتیبانی SPNEGO.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید در مورد انتشار این نسخه های اصلاحی جدید یا در مورد آسیب پذیری های رفع شده ، می توانید جزئیات را بررسی کنید با رفتن به لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.