Az új DNS BIND frissítések egy távoli kódfuttatási biztonsági rést címeznek

Néhány nappal ezelőtts kiadták az új javító DNS BIND verziókat a 9.11.31 és a 9.16.15 stabil ágak közül, és a 9.17.12 kísérleti ágak fejlesztésében is szerepel, ez a leggyakrabban használt DNS-kiszolgáló az interneten és különösen a Unix rendszereken, amelyekben szabványos és az Internet Systems Consortium szponzorálja.

Az új verziók publikációjában megemlítik, hogy a fő szándék három sebezhetőség kijavítása, amelyek egyike (CVE-2021-25216) puffertúlcsordulást okoz.

Megemlítik, hogy a 32 bites rendszereken a biztonsági rés kihasználható a kód távoli végrehajtására amelyet a támadó egy speciálisan kialakított GSS-TSIG kérés küldésével tervezett, míg a 64 bites rendszereknél a probléma a megnevezett folyamat blokkolására korlátozódik.

A probléma csak akkor nyilvánul meg, ha a GSS-TSIG mechanizmus engedélyezve van, amelyet a tkey-gssapi-keytab és a tkey-gssapi-hitelesítő adatok beállításai aktiválnak. A GSS-TSIG alapértelmezés szerint le van tiltva, és általában vegyes környezetekben használják, ahol a BIND az Active Directory tartományvezérlőkkel van kombinálva, vagy ha a Samba integrálva van.

A biztonsági rést a GSSAPI tárgyalási mechanizmus végrehajtásának hibája okozza Egyszerű és biztonságos (SPNEGO), amelyet a GSSAPI használ az ügyfél és a kiszolgáló által használt védelmi módszerek megtárgyalására. A GSSAPI-t magas szintű protokollként használják a biztonságos kulcscseréhez a GSS-TSIG kiterjesztéssel, amelyet a dinamikus frissítések hitelesítésére használnak a DNS zónákban.

A BIND kiszolgálók sérülékenyek, ha egy érintett verziót futtatnak, és a GSS-TSIG funkciók használatára vannak konfigurálva. Az alapértelmezett BIND konfigurációt használó konfigurációban a sérülékeny kód elérési útja nincs kitéve, de a kiszolgáló sérülékennyé tehető a tkey-gssapi-keytabo konfigurációs opciók tkey-gssapi-hitelesítő adatok kifejezett beállításával.

Bár az alapértelmezett beállítások nem sérülékenyek, a GSS-TSIG-t gyakran használják olyan hálózatokban, ahol a BIND integrálva van a Samba-val, valamint olyan vegyes kiszolgálói környezetekben, amelyek a BIND-kiszolgálókat egyesítik az Active Directory tartományvezérlőkkel. Azoknak a szervereknek, amelyek megfelelnek ezeknek a feltételeknek, az ISC SPNEGO implementációja kiszolgáltatott a különböző támadásoknak, a CPU architektúrájától függően, amelyhez a BIND készült:

Mivel a belső SPNEGO megvalósítás kritikus sebezhetőségeit megtalálták és korábban, a protokoll megvalósítása eltávolításra kerül a BIND 9 kódbázisból. Azoknak a felhasználóknak, akiknek támogatniuk kell az SPNEGO-t, ajánlott a könyvtár által a GSSAPI által biztosított külső alkalmazást használni. rendszer (elérhető a MIT Kerberos és Heimdal Kerberos cégektől).

Ami a másik két sebezhetőséget illeti amelyek az új javító változat kiadásával megoldódtak, a következőket említik:

  • CVE-2021-25215: A megnevezett folyamat lefagy a DNAME rekordok feldolgozásakor (néhány aldomain átirányítást dolgoz fel), ami duplikátumok hozzáadásához vezet az ANSWER szakaszhoz. A hiteles DNS-kiszolgálók biztonsági résének kihasználásához változtatásokra van szükség a feldolgozott DNS-zónákban, rekurzív szerverek esetén pedig problémás rekordot lehet beszerezni, miután kapcsolatba léptek a hiteles szerverrel.
  • CVE-2021-25214: Elnevezett folyamatblokkolás egy speciálisan kialakított bejövő IXFR kérés feldolgozása során (a DNS zónák változásainak inkrementális átvitelére szolgál a DNS szerverek között). Csak azok a rendszerek érintik a problémát, amelyek engedélyezték a DNS zónaátvitelt a támadó szerveréről (a zónaátviteleket általában a master és a slave szerverek szinkronizálására használják, és szelektíven csak megbízható szervereknél engedélyezettek). Megkerülő megoldásként letilthatja az IXFR támogatást a "request-ixfr no" beállítással.

A BIND korábbi verzióinak felhasználói a probléma blokkolásaként letilthatják a GSS-TSIG szolgáltatást a BIND telepítésében vagy újjáépítésében SPNEGO támogatás nélkül.

Végül ha érdekel, hogy többet tudjon meg róla ezen új javító verziók kiadásáról vagy a javított sebezhetőségekről ellenőrizheti a részleteket a következő linkre kattintva.


A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.