数日前■新しい修正DNSBINDバージョンのリリースがリリースされました 安定したブランチ9.11.31と9.16.15の中で、実験的なブランチ9.17.12の開発も行っています。これは、インターネットで最も一般的に使用されているDNSサーバーであり、特にUnixシステムで使用されています。インターネットシステムコンソーシアムが後援しています。
新しいバージョンの公開では、主な目的はXNUMXつの脆弱性を修正することであると述べられています。 そのうちの2021つ(CVE-25216-XNUMX)がバッファオーバーフローを引き起こします。
32ビットシステムでは、 この脆弱性は、コードをリモートで実行するために悪用される可能性があります これは、攻撃者が特別に細工したGSS-TSIG要求を送信することによって設計されたものですが、64ビットシステムの場合、問題は指定されたプロセスのブロックに限定されます。
問題 GSS-TSIGメカニズムが有効になっている場合にのみ現れます。 これは、tkey-gssapi-keytabおよびtkey-gssapi-credential設定によってアクティブ化されます。 GSS-TSIGはデフォルトで無効になっており、通常、BINDがActive Directoryドメインコントローラーと組み合わされている混合環境で、またはSambaと統合されている場合に使用されます。
この脆弱性は、GSSAPIネゴシエーションメカニズムの実装におけるエラーが原因です。 Simple and Secure(SPNEGO)。GSSAPIは、クライアントとサーバーが使用する保護方法をネゴシエートするために使用します。 GSSAPIは、DNSゾーンで動的更新を認証するために使用されるGSS-TSIG拡張機能を使用した安全な鍵交換のための高レベルプロトコルとして使用されます。
BINDサーバーは、影響を受けるバージョンを実行していて、GSS-TSIG関数を使用するように構成されている場合、脆弱です。 デフォルトのBIND構成を使用する構成では、脆弱なコードのパスは公開されませんが、tkey-gssapi-keytabo構成オプションtkey-gssapi-credentialの値を明示的に設定することで、サーバーを脆弱にすることができます。
デフォルト構成は脆弱ではありませんが、GSS-TSIGは、BINDがSambaと統合されているネットワークや、BINDサーバーとActiveDirectoryドメインコントローラーを組み合わせた混合サーバー環境で頻繁に使用されます。 これらの条件を満たすサーバーの場合、ISC SPNEGOの実装は、BINDが構築されたCPUアーキテクチャに応じて、さまざまな攻撃に対して脆弱です。
内部SPNEGO実装の重大な脆弱性が見つかったため、このプロトコルの実装はBIND 9コードベースから削除されます。SPNEGOをサポートする必要があるユーザーには、GSSAPIからライブラリによって提供される外部アプリケーションを使用することをお勧めします。システム(MITKerberosおよびHeimdalKerberosから入手可能)。
他のXNUMXつの脆弱性について この新しい修正バージョンのリリースで解決されたものは、次のとおりです。
- CVE-2021-25215: DNAMEレコードを処理するときに名前付きプロセスがハングし(一部のサブドメインはリダイレクトを処理します)、ANSWERセクションに重複が追加されます。 権限のあるDNSサーバーの脆弱性を悪用するには、処理されたDNSゾーンを変更する必要があります。再帰サーバーの場合、権限のあるサーバーに接続した後に問題のあるレコードを取得できます。
- CVE-2021-25214: 特別に形成された着信IXFR要求を処理するときのネームプロセスブロッキング(DNSサーバー間のDNSゾーンの変更の増分転送に使用されます)。 攻撃者のサーバーからのDNSゾーン転送を許可したシステムのみが問題の影響を受けます(ゾーン転送は通常、マスターサーバーとスレーブサーバーを同期するために使用され、信頼できるサーバーに対してのみ選択的に許可されます)。 回避策として、「request-ixfrno」設定でIXFRサポートを無効にすることができます。
以前のバージョンのBINDのユーザーは、問題をブロックするための解決策として、GSS-TSIGを無効にすることができます。 SPNEGOをサポートせずにBINDをセットアップまたは再構築します。
最後に あなたがそれについてもっと知りたいのなら これらの新しい修正バージョンのリリースまたは修正された脆弱性については、詳細を確認できます 次のリンクにアクセスしてください。