Prieš kelias dienasBuvo išleista naujų korekcinių DNS BIND versijų iš stabilių filialų 9.11.31 ir 9.16.15, taip pat kuriant eksperimentinius filialus 9.17.12, tai yra dažniausiai naudojamas DNS serveris internete ir ypač naudojamas Unix sistemose, kuriose jis yra standartas ir remia interneto sistemų konsorciumas.
Skelbiant naujas versijas, minima, kad pagrindinis tikslas yra ištaisyti tris pažeidžiamumus, vienas iš jų (CVE-2021-25216) sukelia buferio perpildymą.
Minima, kad 32 bitų sistemose pažeidžiamumas gali būti panaudotas nuotoliniu būdu vykdant kodą kurį užpuolikas sukūrė išsiųsdamas specialiai sukurtą „GSS-TSIG“ užklausą, o 64 bitų sistemose problema apsiriboja įvardinto proceso blokavimu.
Problema pasireiškia tik tada, kai įjungtas GSS-TSIG mechanizmas, kurį aktyvuoja „tkey-gssapi-keytab“ ir „tkey-gssapi-credential“ nustatymai. GSS-TSIG pagal numatytuosius nustatymus yra išjungtas ir paprastai naudojamas mišriose aplinkose, kur BIND derinamas su „Active Directory“ domeno valdikliais arba kai jis yra integruotas su „Samba“.
Pažeidžiamumą lemia klaida įgyvendinant GSSAPI derybų mechanizmą Paprasta ir saugi (SPNEGO), kurią GSSAPI naudoja deryboms dėl kliento ir serverio naudojamų apsaugos metodų. GSSAPI naudojamas kaip aukšto lygio protokolas saugiam raktų mainams naudojant GSS-TSIG plėtinį, kuris naudojamas dinaminių naujinimų autentifikavimui DNS zonose.
„BIND“ serveriai yra pažeidžiami, jei jie veikia paveiktą versiją ir sukonfigūruoti naudoti „GSS-TSIG“ funkcijas. Konfigūracijoje, kurioje naudojama numatytoji BIND konfigūracija, pažeidžiamo kodo kelias nėra parodytas, tačiau serveris gali būti pažeidžiamas aiškiai nustatant „tkey-gssapi-keytabo“ konfigūravimo parinkčių „tkey-gssapi-credential“ reikšmes.
Nors numatytieji nustatymai nėra pažeidžiami, GSS-TSIG dažnai naudojamas tinkluose, kuriuose BIND yra integruotas su „Samba“, taip pat mišriose serverių aplinkose, kuriose BIND serveriai derinami su „Active Directory“ domeno valdikliais. Serveriams, kurie atitinka šias sąlygas, ISC SPNEGO diegimas yra pažeidžiamas įvairių atakų, atsižvelgiant į procesoriaus architektūrą, kuriai buvo sukurtas BIND:
Kadangi buvo nustatyta ir anksčiau įvykusių kritinių vidinio SPNEGO diegimo pažeidžiamumų, šio protokolo diegimas pašalinamas iš BIND 9 kodo bazės. Vartotojams, kuriems reikia palaikyti SPNEGO, rekomenduojama naudoti išorinę programą, kurią teikia biblioteka iš GSSAPI sistema (galima įsigyti iš MIT Kerberos ir Heimdal Kerberos).
Kalbant apie kitus du pažeidžiamumus kurie buvo išspręsti išleidus šią naują taisomąją versiją, yra paminėti:
- CVE-2021-25215: Pavadintas procesas pakimba apdorojant DNAME įrašus (kai kurie padomeniai apdoroja peradresavimą), todėl ANSWER skyriuje bus pridėta dublikatų. Norint išnaudoti autoritetingų DNS serverių pažeidžiamumą, reikia apdorotų DNS zonų pakeitimų, o rekursiniams serveriams probleminį įrašą galima gauti susisiekus su autoritetingu serveriu.
- CVE-2021-25214: Pavadintas proceso blokavimas apdorojant specialiai suformuotą gaunamą IXFR užklausą (naudojama laipsniškam DNS zonų pakeitimų perdavimui tarp DNS serverių). Problema paveikia tik tas sistemas, kurios leido perkelti DNS zonas iš užpuoliko serverio (zonos perkėlimai paprastai naudojami pagrindiniams ir pavaldiesiems serveriams sinchronizuoti ir leidžiami tik patikimiems serveriams). Norėdami išspręsti problemą, galite išjungti IXFR palaikymą naudodami „request-ixfr no“ parametrą.
Ankstesnių „BIND“ versijų vartotojai, kaip sprendimas blokuoti problemą, gali išjungti „GSS-TSIG“ sąrankoje arba atstatykite BIND be SPNEGO palaikymo.
Pagaliau jei norite sužinoti daugiau apie tai apie šių naujų taisomųjų versijų išleidimą arba apie pašalintus pažeidžiamumus galite patikrinti išsamią informaciją eidami į šią nuorodą.