કેટલાક દિવસો પહેલાs નવા સુધારાત્મક DNS BIND સંસ્કરણોનું પ્રકાશન પ્રકાશિત થયું સ્થિર શાખાઓ 9.11.31 અને 9.16.15 અને તે પ્રાયોગિક શાખાઓ 9.17.12 ના વિકાસમાં પણ છે, આ ઇન્ટરનેટ પર સૌથી સામાન્ય રીતે ઉપયોગમાં લેવાતા DNS સર્વર છે અને ખાસ કરીને યુનિક્સ સિસ્ટમ્સ પર વપરાય છે, જેમાં તે પ્રમાણભૂત છે અને ઇન્ટરનેટ સિસ્ટમ્સ કન્સોર્ટિયમ દ્વારા પ્રાયોજિત છે.
નવા સંસ્કરણોના પ્રકાશનમાં, તેનો ઉલ્લેખ કરવામાં આવ્યો છે કે મુખ્ય હેતુ ત્રણ નબળાઈઓને સુધારવાનો છે, જેમાંથી એક (સીવીઇ -2021-25216) બફર ઓવરફ્લોનું કારણ બને છે.
ઉલ્લેખનીય છે કે 32-બીટ સિસ્ટમ્સ પર, દૂરસ્થ કોડ ચલાવવા માટે નબળાઈઓનો ઉપયોગ કરી શકાય છે જેનો હુમલોકર્તા દ્વારા ખાસ રચિત જીએસએસ-ટીએસઆઈજી વિનંતી મોકલીને બનાવવામાં આવ્યો હતો, જ્યારે 64-બીટ સિસ્ટમ્સ માટે, સમસ્યા નામવાળી પ્રક્રિયાને અવરોધિત કરવા સુધી મર્યાદિત છે.
સમસ્યા જ્યારે જીએસએસ-ટીએસઆઈજી મિકેનિઝમ સક્ષમ હોય ત્યારે જ પોતાને મેનીફેસ્ટ કરે છે, જે ટકી-ગસાપી-કીટtબ અને ટકી-ગ્સાપી-ઓળખપત્ર સેટિંગ્સ દ્વારા સક્રિય થયેલ છે. જીએસએસ-ટીએસઆઈજી ડિફ defaultલ્ટ રૂપે અક્ષમ છે અને સામાન્ય રીતે મિશ્ર વાતાવરણમાં વપરાય છે જ્યાં BIND એક્ટિવ ડિરેક્ટરી ડોમેન નિયંત્રકો સાથે જોડાય છે અથવા જ્યારે તે સામ્બા સાથે એકીકૃત થાય છે.
જીએસએસએપીઆઈ નેગોશીએશન મિકેનિઝમના અમલીકરણમાં ભૂલ હોવાને કારણે નબળાઈ છે સરળ અને સુરક્ષિત (એસપીએનજીઓ), જેનો ઉપયોગ જીએસએસએપીઆઈ ક્લાયંટ અને સર્વર દ્વારા ઉપયોગમાં લેવામાં આવતી સંરક્ષણ પદ્ધતિઓ માટે વાટાઘાટો માટે કરે છે. જીએસએસએપીઆઈનો ઉપયોગ જીએસએસ-ટીએસઆઈજી એક્સ્ટેંશનનો ઉપયોગ કરીને સુરક્ષિત કી વિનિમય માટે ઉચ્ચ-સ્તરના પ્રોટોકોલ તરીકે થાય છે, જેનો ઉપયોગ DNS ઝોનમાં ગતિશીલ અપડેટ્સને પ્રમાણિત કરવા માટે થાય છે.
BIND સર્વરો સંવેદનશીલ હોય છે જો તેઓ અસરગ્રસ્ત સંસ્કરણ ચલાવી રહ્યા હોય અને GSS-TSIG કાર્યોનો ઉપયોગ કરવા માટે ગોઠવેલ હોય. ડિફ defaultલ્ટ BIND રૂપરેખાંકનનો ઉપયોગ કરે છે તે ગોઠવણીમાં, સંવેદનશીલ કોડનો માર્ગ ખુલ્લો નથી, પરંતુ Tkey-gssapi-keytabo રૂપરેખાંકન વિકલ્પો tkey-gssapi- ઓળખપત્ર માટે સ્પષ્ટપણે મૂલ્યો સેટ કરીને સર્વરને નિર્બળ બનાવી શકાય છે.
ડિફ settingsલ્ટ સેટિંગ્સ નબળા નથી, તેમ છતાં, જીએસએસ-ટીએસઆઈજી વારંવાર એવા નેટવર્કમાં વપરાય છે કે જ્યાં BIND સામ્બા સાથે સંકલિત હોય, તેમજ મિશ્ર સર્વર વાતાવરણમાં કે જે BIND સર્વરોને સક્રિય ડિરેક્ટરી ડોમેન નિયંત્રકો સાથે જોડે છે. આ શરતોને પૂર્ણ કરતા સર્વરો માટે, આઇ.એસ.સી. એસ.પી.એન.જી.ઓ. અમલીકરણ, વિવિધ હુમલાઓ માટે સંવેદનશીલ છે, તે સીપીયુ આર્કિટેક્ચર પર આધાર રાખે છે જેના માટે BIND બનાવવામાં આવ્યું હતું:
આંતરિક એસ.પી.એન.જી.જી.ઓ.ના અમલીકરણમાં ગંભીર નબળાઈઓ મળી હોવાથી અને અગાઉથી, આ પ્રોટોકોલનો અમલ BIND 9 કોડ બેઝમાંથી દૂર કરવામાં આવ્યો છે.જે વપરાશકર્તાઓને જેણે એસ.પી.એન.જી.જી.ઓને ટેકો આપવાની જરૂર છે, તે જીએસએસએપીઆઈ દ્વારા લાઇબ્રેરી દ્વારા પૂરી પાડવામાં આવેલ બાહ્ય એપ્લિકેશનનો ઉપયોગ કરવાની ભલામણ કરવામાં આવે છે. સિસ્ટમ (એમઆઈટી કર્બરોઝ અને હીમડલ કેર્બરોઝથી ઉપલબ્ધ છે).
અન્ય બે નબળાઈઓ માટે જે આ નવા સુધારાત્મક સંસ્કરણના પ્રકાશન સાથે ઉકેલાયા હતા, નીચેનાનો ઉલ્લેખ કરવામાં આવ્યો છે:
- સીવીઇ -2021-25215: ડીએનએમ રેકોર્ડ્સ પર પ્રક્રિયા કરતી વખતે નામવાળી પ્રક્રિયા અટકી (કેટલાક સબડોમેન્સ રીડાયરેક્શનની પ્રક્રિયા કરે છે), જે એએનએસઆરઇઆર વિભાગમાં ડુપ્લિકેટ્સ ઉમેરવા તરફ દોરી જાય છે. અધિકૃત DNS સર્વરોમાં નબળાઈઓનો ઉપયોગ કરવા માટે, ડીસેન પ્રક્રિયા કરેલ DNS ઝોનમાં ફેરફારો આવશ્યક છે, અને પુનરાવર્તિત સર્વરો માટે, અધિકૃત સર્વરનો સંપર્ક કર્યા પછી સમસ્યારૂપ રેકોર્ડ મેળવી શકાય છે.
- સીવીઇ -2021-25214: ખાસ રચિત ઇનકમિંગ આઇએક્સએફઆર વિનંતી પર પ્રક્રિયા કરતી વખતે નામકરણ પ્રક્રિયા અવરોધિત (DNS સર્વરો વચ્ચેના DNS ઝોનમાં ફેરફારના વધારાના સ્થાનાંતરણ માટે વપરાય છે). ફક્ત સિસ્ટમો કે જેણે હુમલાખોરના સર્વરથી DNS ઝોન સ્થાનાંતરણને મંજૂરી આપી છે તે સમસ્યાથી પ્રભાવિત થાય છે (ઝોન ટ્રાન્સફર સામાન્ય રીતે માસ્ટર અને સ્લેવ સર્વરોને સિંક્રનાઇઝ કરવા માટે વપરાય છે અને પસંદગીના રૂપે ફક્ત વિશ્વસનીય સર્વર્સ માટે જ મંજૂરી છે). વર્કઆઉન્ડ તરીકે, તમે "વિનંતી-આઈએક્સફ્રે ના" સેટિંગ સાથે આઈએક્સએફઆર સપોર્ટને અક્ષમ કરી શકો છો.
BIND ના પાછલા સંસ્કરણોના વપરાશકર્તાઓ, સમસ્યાને અવરોધિત કરવાના ઉપાય તરીકે, GSS-TSIG ને અક્ષમ કરી શકે છે એસ.પી.એન.જી.ઓ. સપોર્ટ વિના સેટઅપ અથવા ફરીથી બિલ્ડ BIND.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે આ નવા સુધારાત્મક સંસ્કરણોના પ્રકાશન વિશે અથવા નિશ્ચિત નબળાઈઓ વિશે, તમે વિગતો ચકાસી શકો છો નીચેની લીંક પર જઈને.