Nei DNS BIND Updates adresséieren eng Remote Code Execution Vulnerabilitéit

Virun e puer Deegs d'Verëffentlechung vun neie korrektiven DNS BIND Versioune gouf verëffentlecht vun de stabile Filialen 9.11.31 an 9.16.15 an ass och an der Entwécklung vun den experimentelle Filialen 9.17.12, ass dëst den dacks benotztsten DNS-Server um Internet a besonnesch op Unix Systemer benotzt, an deem et e Standard an gëtt gesponsert vum Internet Systems Consortium.

An der Verëffentlechung vun den neie Versioune gëtt erwähnt datt d'Haaptintentioun ass dräi Schwächen ze korrigéieren, eng dovun (CVE-2021-25216) verursaacht e Pufferiwwel.

Et gëtt erwähnt datt op 32-Bit Systemer, d'Schwachstelle kéint exploitéiert ginn fir Code auszeféieren dee gouf vum Angreifer entworf andeems e speziell ausgeschaffte GSS-TSIG Ufro geschéckt gouf, wärend fir 64-Bit Systemer de Problem limitéiert ass fir de genannte Prozess ze blockéieren.

De Problem manifestéiert sech nëmme wann de GSS-TSIG Mechanismus aktivéiert ass, déi vun den tkey-gssapi-keytab an tkey-gssapi-credential Astellunge aktivéiert gëtt. GSS-TSIG ass standardiséiert a gëtt normalerweis a gemëschten Ëmfeld benotzt wou BIND mat Active Directory Domain Controller kombinéiert gëtt oder wann et mat Samba integréiert ass.

D'Vulnerabilitéit ass wéinst engem Feeler bei der Ëmsetzung vum GSSAPI Verhandlungsmechanismus Einfach a Séchert (SPNEGO), déi GSSAPI benotzt fir iwwer de Schutzmethode vum Client an dem Server ze verhandelen. GSSAPI gëtt als héijen Niveau Protokoll fir e séchere Schlësselaustausch mat der GSS-TSIG Extensioun benotzt, déi benotzt gëtt fir dynamesch Updates an DNS Zonen ze authentifizéieren.

BIND Server si vulnérabel wa se eng betraff Versioun lafen a konfiguréiert sinn fir d'GSS-TSIG Funktiounen ze benotzen. An enger Konfiguratioun déi d'Standard BIND Konfiguratioun benotzt, gëtt de Wee vum vulnerabele Code net ausgesat, awer e Server kann ufälleg gemaach ginn duerch explizit Wäerter fir tkey-gssapi-keytabo Konfiguratiounsoptiounen tkey-gssapi-credential.

Och wann d'Standardkonfiguratioun net vulnérabel ass, gëtt GSS-TSIG dacks an Netzwierker benotzt wou BIND mat Samba integréiert ass, wéi och a gemëschte Serverëmfeld, déi BIND Server mat Active Directory Domain Controller kombinéieren. Fir Serveren déi dëse Konditiounen erfëllen ass d'ISC SPNEGO Implementatioun vulnérabel fir verschidden Attacken, ofhängeg vun der CPU Architektur fir déi BIND gebaut gouf:

Well déi kritesch Schwachlëchkeeten an der interner SPNEGO-Implementatioun fonnt a fréier sinn, gëtt d'Ëmsetzung vun dësem Protokoll aus der BIND 9. Codebasis geläscht. Fir Benotzer déi SPNEGO mussen ënnerstëtzen, gëtt et recommandéiert eng extern Uwendung ze benotzen déi vun der Bibliothéik vun der GSSAPI ugebuede gëtt. System (verfügbar vu MIT Kerberos an Heimdal Kerberos).

Wéi fir déi aner zwou Schwachlëchkeet déi mat der Verëffentlechung vun dëser neier korrektiver Versioun geléist goufen, ginn déi folgend erwähnt:

  • CVE-2021-25215: Genannte Prozess hänkt beim Veraarbechtung vun DNAME records (e puer Ënnerdominne veraarbecht Viruleedung), wat zu der Zousaz vun Duplikaten an der ÄNTWERT Sektioun féiert. Fir d'Schwachstelle bei autoritären DNS Server ze exploitéieren, sinn Ännerunge fir veraarbecht DNS Zonen erfuerderlech, a fir rekursiv Server kann e problematesche Rekord kritt ginn nodeems Dir den autoritäre Server kontaktéiert.
  • CVE-2021-25214: Genannte Prozessblockéiere bei der Veraarbechtung vun enger speziell geformter erakommend IXFR Ufro (benotzt fir inkrementellen Transfert vun Ännerungen an DNS Zonen tëscht DNS Serveren). Nëmme Systemer déi DNS Zone Transfere vum Server vum Ugräifer erlaabt hunn, si vum Problem betraff (Zone Transfere ginn normalerweis benotzt fir Master a Sklave Server ze synchroniséieren a si selektiv nëmme fir vertraut Server erlaabt). Als Léisung kënnt Dir IXFR Support deaktivéieren mat der "Request-ixfr no" Astellung.

Benotzer vu fréiere Versioune vu BIND, als Léisung fir de Problem ze blockéieren, kënne GSS-TSIG deaktivéieren am Setup oder nei opzebauen ouni SPNEGO Support.

Endlech wann Dir interesséiert sidd méi doriwwer ze wëssen iwwer d'Verëffentlechung vun dësen neie Korrektiounsversiounen oder iwwer d'Schwachstelle fixéiert, kënnt Dir d'Detailer kontrolléieren andeems Dir op de folgende Link gitt.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.