Novas actualizacións de DNS BIND abordan unha vulnerabilidade de execución de código remoto

Hai varios díass lanzouse a nova versión correctiva de DNS BIND das ramas estables 9.11.31 e 9.16.15 e tamén está no desenvolvemento das ramas experimentais 9.17.12, este é o servidor DNS máis usado en Internet e especialmente usado en sistemas Unix, nos que é un estándar e está patrocinado polo Consorcio de Sistemas de Internet.

Na publicación das novas versións mencionase que a intención principal é corrixir tres vulnerabilidades, un dos cales (CVE-2021-25216) provoca un desbordamento do búfer.

Menciónase que nos sistemas de 32 bits, a vulnerabilidade podería ser aproveitada para executar código remotamente que foi deseñado polo atacante enviando unha solicitude GSS-TSIG especialmente deseñada, mentres que para sistemas de 64 bits, o problema limítase a bloquear o proceso mencionado.

O problema só se manifesta cando o mecanismo GSS-TSIG está activado, que se activa mediante a configuración de credenciais tkey-gssapi-keytab e tkey-gssapi-key. GSS-TSIG está desactivado por defecto e úsase xeralmente en ambientes mixtos onde BIND se combina con controladores de dominio de Active Directory ou cando está integrado con Samba.

A vulnerabilidade débese a un erro na implementación do mecanismo de negociación GSSAPI Sinxelo e seguro (SPNEGO), que GSSAPI usa para negociar os métodos de protección empregados polo cliente e o servidor. GSSAPI úsase como protocolo de alto nivel para o intercambio seguro de claves mediante a extensión GSS-TSIG, que se usa para autenticar actualizacións dinámicas en zonas DNS.

Os servidores BIND son vulnerables se están executando unha versión afectada e configurados para usar as funcións GSS-TSIG. Nunha configuración que usa a configuración predeterminada de BIND, a ruta do código vulnerable non está exposta, pero un servidor pódese facer vulnerable configurando explícitamente valores para as opcións de configuración tkey-gssapi-keytabo tkey-gssapi-credential.

Aínda que a configuración predeterminada non é vulnerable, GSS-TSIG úsase frecuentemente en redes onde BIND está integrado con Samba, así como en ambientes de servidores mixtos que combinan servidores BIND con controladores de dominio do Active Directory. Para servidores que cumpran estas condicións, a implementación de ISC SPNEGO é vulnerable a varios ataques, dependendo da arquitectura de CPU para a que se creou BIND:

Dado que se atoparon vulnerabilidades críticas na implementación interna de SPNEGO e anteriores, a implementación deste protocolo elimínase da base de código BIND 9. Para os usuarios que precisan soportar SPNEGO, recoméndase usar unha aplicación externa fornecida pola biblioteca desde o sistema GSSAPI (dispoñible en MIT Kerberos e Heimdal Kerberos).

En canto ás outras dúas vulnerabilidades que se resolveron coa publicación desta nova versión correctiva, mencionanse os seguintes:

  • CVE-2021-25215: O proceso denominado colga cando se procesan rexistros DNAME (algúns subdominios procesan a redirección), o que leva a engadir duplicados á sección RESPOSTA. Para explotar a vulnerabilidade en servidores DNS autorizados, son necesarios cambios nas zonas DNS procesadas e para os servidores recursivos pódese obter un rexistro problemático despois de contactar co servidor autorizado.
  • CVE-2021-25214: Bloqueo de procesos denominado cando se procesa unha solicitude IXFR entrante especialmente formada (usada para a transferencia incremental de cambios nas zonas DNS entre servidores DNS). O problema afecta só aos sistemas que permitiron transferencias de zona DNS desde o servidor do atacante (as transferencias de zona normalmente úsanse para sincronizar servidores mestres e escravos e só se permiten selectivamente para servidores de confianza). Como solución alternativa, pode desactivar a compatibilidade IXFR coa configuración "request-ixfr no".

Os usuarios de versións anteriores de BIND, como solución para bloquear o problema, poden desactivar GSS-TSIG na configuración ou reconstrución de BIND sen soporte de SPNEGO.

Finalmente se estás interesado en saber máis sobre el sobre o lanzamento destas novas versións correctoras ou sobre as vulnerabilidades solucionadas, pode consultar os detalles indo á seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

bool (verdadeiro)