Pirms vairākām dienāms tika izlaista jaunu koriģējošo DNS BIND versiju izlaišana no stabilajām filiālēm 9.11.31 un 9.16.15 un ir arī eksperimentālo filiāļu 9.17.12 izstrādē, tas ir visbiežāk izmantotais DNS serveris internetā un īpaši izmantots Unix sistēmās, kurās tas ir standarts un sponsorē Interneta sistēmu konsorcijs.
Jauno versiju publikācijā tiek minēts, ka galvenais mērķis ir novērst trīs ievainojamības, viens no tiem (CVE-2021-25216) izraisa bufera pārpildi.
Tiek minēts, ka 32 bitu sistēmās ievainojamību var izmantot, lai attālināti izpildītu kodu to izstrādāja uzbrucējs, nosūtot īpaši izstrādātu GSS-TSIG pieprasījumu, turpretī 64 bitu sistēmām problēma ir tikai nosaukto procesu bloķēšana.
Problēma izpaužas tikai tad, kad ir iespējots GSS-TSIG mehānisms, ko aktivizē tkey-gssapi-keytab un tkey-gssapi-akreditācijas dati. GSS-TSIG pēc noklusējuma ir atspējots un parasti tiek izmantots jauktās vidēs, kur BIND ir apvienots ar Active Directory domēna kontrolleriem vai kad tas ir integrēts ar Samba.
Neaizsargātība ir saistīta ar kļūdu GSSAPI sarunu mehānisma ieviešanā Vienkāršs un drošs (SPNEGO), kuru GSSAPI izmanto, lai risinātu sarunas par klienta un servera izmantotajām aizsardzības metodēm. GSSAPI tiek izmantots kā augsta līmeņa protokols drošai atslēgu apmaiņai, izmantojot GSS-TSIG paplašinājumu, kas tiek izmantots dinamisko atjauninājumu autentificēšanai DNS zonās.
BIND serveri ir neaizsargāti, ja tajos darbojas ietekmētā versija un tie ir konfigurēti GSS-TSIG funkciju izmantošanai. Konfigurācijā, kurā tiek izmantota noklusējuma BIND konfigurācija, neaizsargātā koda ceļš netiek atklāts, taču serveri var padarīt neaizsargātu, skaidri iestatot tkey-gssapi-keytabo konfigurācijas opciju tkey-gssapi-credential vērtības.
Lai gan noklusējuma konfigurācija nav neaizsargāta, GSS-TSIG bieži izmanto tīklos, kur BIND ir integrēts ar Samba, kā arī jauktās serveru vidēs, kas BIND serverus apvieno ar Active Directory domēna kontrolleriem. Serveriem, kas atbilst šiem nosacījumiem, ISC SPNEGO ieviešana ir neaizsargāta pret dažādiem uzbrukumiem, atkarībā no CPU arhitektūras, kurai tika izveidots BIND:
Tā kā iekšējā SPNEGO ieviešanā ir konstatētas un agrāk kritiskās ievainojamības, šī protokola ieviešana tiek noņemta no BIND 9 kodu bāzes. Lietotājiem, kuriem jāatbalsta SPNEGO, ieteicams izmantot ārēju lietojumprogrammu, ko bibliotēka nodrošina no GSSAPI sistēma (pieejama MIT Kerberos un Heimdal Kerberos).
Kas attiecas uz pārējām divām ievainojamībām kas tika atrisināti, izlaižot šo jauno korektīvo versiju, tiek minēti šādi:
- CVE-2021-25215: Nosauktais process uzkaras, apstrādājot DNAME ierakstus (daži apakšdomēni apstrādā novirzīšanu), kā rezultātā sadaļai ATBILDES tiek pievienoti dublikāti. Lai izmantotu autoritatīvo DNS serveru ievainojamību, ir jāmaina apstrādātās DNS zonas, un rekursīvajiem serveriem problemātisku ierakstu var iegūt pēc sazināšanās ar autoritatīvo serveri.
- CVE-2021-25214: Nosaukta procesa bloķēšana, apstrādājot īpaši izveidotu ienākošo IXFR pieprasījumu (tiek izmantots DNS zonu izmaiņu pakāpeniskai pārsūtīšanai starp DNS serveriem). Problēma ietekmē tikai sistēmas, kas ir atļāvušas DNS zonu pārsūtīšanu no uzbrucēja servera (zonu pārsūtīšanu parasti izmanto galveno un pakļauto serveru sinhronizēšanai, un tās selektīvi ir atļautas tikai uzticamiem serveriem). Kā risinājumu varat atspējot IXFR atbalstu, izmantojot iestatījumu “request-ixfr no”.
Iepriekšējo BIND versiju lietotāji kā risinājumu problēmas bloķēšanai var atspējot GSS-TSIG BIND iestatīšanā vai atjaunošanā bez SPNEGO atbalsta.
Beidzot ja jūs interesē uzzināt vairāk par to par šo jauno koriģējošo versiju izlaišanu vai par novērstajām ievainojamībām varat pārbaudīt informāciju pārejot uz šo saiti.