Diversi giorni fas è stato rilasciato il rilascio di nuove versioni correttive di DNS BIND dei rami stabili 9.11.31 e 9.16.15 ed è anche in fase di sviluppo dei rami sperimentali 9.17.12, questo è il server DNS più comunemente usato su Internet e utilizzato soprattutto sui sistemi Unix, in cui è uno standard e è sponsorizzato dall'Internet Systems Consortium.
Nella pubblicazione delle nuove versioni si afferma che l'intenzione principale è quella di correggere tre vulnerabilità, uno dei quali (CVE-2021-25216) causa un overflow del buffer.
Si dice che su sistemi a 32 bit, la vulnerabilità potrebbe essere sfruttata per eseguire codice in remoto che è stato progettato dall'aggressore inviando una richiesta GSS-TSIG appositamente predisposta, mentre per i sistemi a 64 bit, il problema è limitato al blocco del processo denominato.
Il problema si manifesta solo quando il meccanismo GSS-TSIG è abilitato, che viene attivato dalle impostazioni tkey-gssapi-keytab e tkey-gssapi-credential. GSS-TSIG è disabilitato per impostazione predefinita ed è generalmente utilizzato in ambienti misti in cui BIND è combinato con controller di dominio Active Directory o quando è integrato con Samba.
La vulnerabilità è dovuta a un errore nell'implementazione del meccanismo di negoziazione GSSAPI Simple and Secure (SPNEGO), che GSSAPI utilizza per negoziare i metodi di protezione utilizzati dal client e dal server. GSSAPI viene utilizzato come protocollo di alto livello per lo scambio di chiavi sicuro utilizzando l'estensione GSS-TSIG, che viene utilizzata per autenticare gli aggiornamenti dinamici nelle zone DNS.
I server BIND sono vulnerabili se eseguono una versione interessata e sono configurati per utilizzare le funzioni GSS-TSIG. In una configurazione che utilizza la configurazione BIND predefinita, il percorso del codice vulnerabile non è esposto, ma un server può essere reso vulnerabile impostando esplicitamente i valori per le opzioni di configurazione tkey-gssapi-keytabo tkey-gssapi-credential.
Sebbene la configurazione predefinita non sia vulnerabile, GSS-TSIG viene spesso utilizzato nelle reti in cui BIND è integrato con Samba, nonché in ambienti server misti che combinano server BIND con controller di dominio Active Directory. Per i server che soddisfano queste condizioni, l'implementazione ISC SPNEGO è vulnerabile a vari attacchi, a seconda dell'architettura della CPU per cui BIND è stato creato:
Poiché le vulnerabilità critiche nell'implementazione SPNEGO interna sono state rilevate e precedenti, l'implementazione di questo protocollo viene rimossa dalla base di codice BIND 9. Per gli utenti che devono supportare SPNEGO, si consiglia di utilizzare un'applicazione esterna fornita dalla libreria dal GSSAPI sistema (disponibile da MIT Kerberos e Heimdal Kerberos).
Per quanto riguarda le altre due vulnerabilità risolti con il rilascio di questa nuova versione correttiva, si menzionano i seguenti:
- CVE-2021-25215: Il processo denominato si blocca durante l'elaborazione dei record DNAME (alcuni sottodomini elaborano il reindirizzamento), portando all'aggiunta di duplicati alla sezione RISPOSTA. Per sfruttare la vulnerabilità nei server DNS autorevoli, sono necessarie modifiche alle zone DNS elaborate e, per i server ricorsivi, è possibile ottenere un record problematico dopo aver contattato il server autorevole.
- CVE-2021-25214: Blocco del processo denominato durante l'elaborazione di una richiesta IXFR in entrata appositamente formata (utilizzato per il trasferimento incrementale delle modifiche nelle zone DNS tra i server DNS). Solo i sistemi che hanno consentito i trasferimenti di zona DNS dal server dell'aggressore sono interessati dal problema (i trasferimenti di zona vengono generalmente utilizzati per sincronizzare i server master e slave e sono consentiti selettivamente solo per i server affidabili). Come soluzione alternativa, puoi disabilitare il supporto IXFR con l'impostazione "request-ixfr no".
Gli utenti delle versioni precedenti di BIND, come soluzione per bloccare il problema, possono disabilitare GSS-TSIG nella configurazione o nella ricostruzione di BIND senza il supporto di SPNEGO.
Infine se sei interessato a saperne di più sul rilascio di queste nuove versioni correttive o sulle vulnerabilità risolte, è possibile verificare i dettagli andando al seguente collegamento.