며칠 전s 새로운 수정 DNS BIND 버전 출시 안정적인 브랜치 9.11.31 및 9.16.15 중 하나이며 실험 브랜치 9.17.12도 개발 중입니다. 이것은 인터넷에서 가장 일반적으로 사용되는 DNS 서버이며 특히 Unix 시스템에서 사용됩니다. 인터넷 시스템 컨소시엄이 후원합니다.
새 버전의 발표에서 주요 의도는 세 가지 취약점을 수정하는 것이라고 언급되어 있습니다. 그중 하나 (CVE-2021-25216)로 인해 버퍼 오버플로가 발생합니다.
32 비트 시스템에서는 이 취약점을 악용하여 원격으로 코드를 실행할 수 있습니다. 공격자가 특수 제작 된 GSS-TSIG 요청을 보내 설계 한 반면 64 비트 시스템의 경우 문제는 명명 된 프로세스를 차단하는 것으로 제한됩니다.
문제 GSS-TSIG 메커니즘이 활성화 된 경우에만 나타납니다. tkey-gssapi-keytab 및 tkey-gssapi-credential 설정에 의해 활성화됩니다. GSS-TSIG는 기본적으로 비활성화되어 있으며 일반적으로 BIND가 Active Directory 도메인 컨트롤러와 결합되거나 Samba와 통합되는 혼합 환경에서 사용됩니다.
취약점은 GSSAPI 협상 메커니즘의 구현 오류로 인해 발생합니다. GSSAPI가 클라이언트와 서버에서 사용하는 보호 방법을 협상하는 데 사용하는 SPNEGO (Simple and Secure). GSSAPI는 DNS 영역에서 동적 업데이트를 인증하는 데 사용되는 GSS-TSIG 확장을 사용하는 보안 키 교환을위한 고급 프로토콜로 사용됩니다.
BIND 서버는 영향을받는 버전을 실행 중이고 GSS-TSIG 기능을 사용하도록 구성된 경우 취약합니다. 기본 BIND 구성을 사용하는 구성에서는 취약한 코드의 경로가 노출되지 않지만 tkey-gssapi-keytabo 구성 옵션 tkey-gssapi-credential에 대한 값을 명시 적으로 설정하여 서버를 취약하게 만들 수 있습니다.
기본 구성은 취약하지 않지만 GSS-TSIG는 BIND가 Samba와 통합 된 네트워크뿐만 아니라 BIND 서버와 Active Directory 도메인 컨트롤러를 결합하는 혼합 서버 환경에서 자주 사용됩니다. 이러한 조건을 충족하는 서버의 경우 ISC SPNEGO 구현은 BIND가 구축 된 CPU 아키텍처에 따라 다양한 공격에 취약합니다.
내부 SPNEGO 구현의 중요한 취약점이 발견되고 이전에 발견되었으므로이 프로토콜의 구현은 BIND 9 코드베이스에서 제거됩니다. SPNEGO를 지원해야하는 사용자의 경우 GSSAPI에서 라이브러리에서 제공하는 외부 애플리케이션을 사용하는 것이 좋습니다. 시스템 (MIT Kerberos 및 Heimdal Kerberos에서 사용 가능).
다른 두 가지 취약점은 이 새로운 수정 버전의 출시로 해결 된 문제는 다음과 같습니다.
- CVE-2021-25215 : DNAME 레코드 (리디렉션을 처리하는 일부 하위 도메인)를 처리 할 때 명명 된 프로세스가 중단되어 ANSWER 섹션에 중복 항목이 추가됩니다. 권한있는 DNS 서버의 취약점을 악용하려면 처리 된 DNS 영역을 변경해야하며 재귀 서버의 경우 권한있는 서버에 연결 한 후 문제가있는 레코드를 얻을 수 있습니다.
- CVE-2021-25214 : 특수하게 형성된 수신 IXFR 요청을 처리 할 때 명명 된 프로세스 차단 (DNS 서버간에 DNS 영역의 변경 사항을 증분 전송하는 데 사용됨). 공격자의 서버에서 DNS 영역 전송을 허용 한 시스템 만 문제의 영향을받습니다 (영역 전송은 일반적으로 마스터 및 슬레이브 서버를 동기화하는 데 사용되며 신뢰할 수있는 서버에 대해서만 선택적으로 허용됨). 해결 방법으로 "request-ixfr no"설정을 사용하여 IXFR 지원을 비활성화 할 수 있습니다.
이전 버전의 BIND 사용자는 문제를 차단하는 솔루션으로 GSS-TSIG를 비활성화 할 수 있습니다. SPNEGO 지원없이 BIND를 설정하거나 다시 빌드합니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 이러한 새로운 수정 버전의 릴리스 또는 수정 된 취약점에 대한 세부 정보를 확인할 수 있습니다. 다음 링크로 이동하십시오.