बरेच दिवसांपूर्वीनवीन सुधारात्मक डीएनएस बीआयएनडी आवृत्तीचे प्रकाशन प्रसिद्ध झाले 9.11.31 आणि 9.16.15 स्थिर शाखांपैकी आणि 9.17.12 प्रायोगिक शाखांच्या विकासात देखील, हा इंटरनेटवर सर्वात सामान्यतः वापरलेला डीएनएस सर्व्हर आहे आणि विशेषत: युनिक्स सिस्टमवर वापरला जातो, ज्यामध्ये ती एक मानक आहे आणि इंटरनेट सिस्टम कन्सोर्टियम प्रायोजित आहे.
नवीन आवृत्त्यांच्या प्रकाशनात असे नमूद केले आहे की तीन असुरक्षा सुधारण्याचा मुख्य हेतू आहे, त्यापैकी एक (सीव्हीई -2021-25216) यामुळे बफर ओव्हरफ्लो होतो.
असे नमूद केले आहे की 32-बिट सिस्टमवर, कोड दूरस्थपणे कार्यान्वित करण्यासाठी असुरक्षाचा उपयोग केला जाऊ शकतो हे आक्रमणकाराने खास तयार केलेल्या जीएसएस-टीएसआयजी विनंती पाठवून डिझाइन केले होते, तर 64-बिट सिस्टमसाठी, समस्या नामित प्रक्रिया अवरोधित करण्यापुरती मर्यादित आहे.
समस्या जीएसएस-टीएसआयजी यंत्रणा सक्षम केल्यावरच प्रकट होते, जे टकी-ग्सापी-कीटाब आणि टकी-ग्सापी-क्रेडेन्शियल सेटिंग्जद्वारे सक्रिय केले गेले आहे. जीएसएस-टीएसआयजी डीफॉल्टनुसार अक्षम केले जाते आणि सामान्यत: मिश्रित वातावरणात वापरले जाते जेथे बीआयएनडी Activeक्टिव्ह डिरेक्टरी डोमेन नियंत्रकांसह एकत्रित केले जाते किंवा जेव्हा ते साम्बासह समाकलित केले जाते.
जीएसएसएपीआय वाटाघाटी यंत्रणेच्या अंमलबजावणीमधील त्रुटीमुळे असुरक्षा उद्भवली आहे सिंपल आणि सिक्योर (एसपीएनईजीओ), जीएसएसएपीआय क्लायंट आणि सर्व्हरद्वारे वापरल्या जाणार्या संरक्षण पद्धतींसाठी बोलणी करण्यासाठी वापरतो. जीएसएसपीआय जीएसएस-टीएसआयजी विस्तार वापरुन सुरक्षित की एक्सचेंजसाठी उच्च-स्तरीय प्रोटोकॉल म्हणून वापरला जातो, जो डीएनएस झोनमधील डायनॅमिक अद्यतनांना अधिकृत करण्यासाठी वापरला जातो.
BIND सर्व्हर असुरक्षित आहेत जर ते एक प्रभावित आवृत्ती चालवत असतील आणि GSS-TSIG कार्ये वापरण्यासाठी कॉन्फिगर केले असतील. डीफॉल्ट BIND कॉन्फिगरेशन वापरणार्या कॉन्फिगरेशनमध्ये, असुरक्षित कोडचा मार्ग उघड केला जात नाही, परंतु tkey-gssapi-keytabo कॉन्फिगरेशन पर्याय tkey-gssapi-क्रेडेंशियलसाठी स्पष्टपणे मूल्ये सेट करुन सर्व्हरला असुरक्षित केले जाऊ शकते.
डीफॉल्ट कॉन्फिगरेशन असुरक्षित नसले तरीही, जीएसएस-टीएसआयजी वारंवार नेटवर्कमध्ये वापरली जाते जेथे बीआयएनडी सांबासह एकत्रित केले जाते, तसेच मिश्रित सर्व्हर वातावरणात जे बीआयएनडी सर्व्हर अॅक्टिव्ह डिरेक्टरी डोमेन कंट्रोलर्ससह एकत्र करतात. या अटी पूर्ण करणार्या सर्व्हरसाठी, सीआयपीयू आर्किटेक्चर, ज्यासाठी बीआयएनडी बांधले गेले आहे त्यानुसार, आयएससी एसपीएनईजीओ अंमलबजावणी विविध हल्ल्यांसाठी असुरक्षित आहे:
अंतर्गत एसपीएनईजीओ अंमलबजावणीतील गंभीर असुरक्षितता आढळली आणि पूर्वीपासून, या प्रोटोकॉलची अंमलबजावणी बीआयएनडी 9 कोड बेसमधून काढली गेली आहे.ज्यांना ज्या वापरकर्त्यांना एसपीएनईजीओ समर्थन आवश्यक आहे त्यांना जीएसएसएपीआय कडून लायब्ररीद्वारे प्रदान केलेला बाह्य अनुप्रयोग वापरण्याची शिफारस केली जाते. सिस्टम (एमआयटी केर्बेरोस आणि हेमडल केर्बेरोस वरून उपलब्ध).
इतर दोन असुरक्षा साठी जे या नवीन सुधारात्मक आवृत्तीच्या प्रकाशनातून सोडवले गेले होते, त्या खाली नमूद केल्या आहेत:
- सीव्हीई -2021-25215: डीएनएएम रेकॉर्डवर प्रक्रिया करताना नामित प्रक्रिया क्रॅश (काही सबडोमेन प्रक्रिया पुनर्निर्देशनेवर प्रक्रिया करते), ज्यामुळे उत्तर विभागात डुप्लिकेटची भर पडते. अधिकृत डीएनएस सर्व्हरमधील असुरक्षिततेचा फायदा घेण्यासाठी, प्रक्रिया केलेल्या डीएनएस झोनमध्ये बदल करणे आवश्यक आहे आणि रिकर्सिव्ह सर्व्हरसाठी अधिकृत सर्व्हरशी संपर्क साधल्यानंतर समस्याप्रधान रेकॉर्ड मिळविला जाऊ शकतो.
- सीव्हीई -2021-25214: विशेषत: तयार झालेल्या इनकमिंग आयएक्सएफआर विनंतीवर प्रक्रिया करतेवेळी नामित प्रक्रिया अवरोधित करणे (डीएनएस सर्व्हरमधील डीएनएस झोनमधील बदलांच्या वाढीव हस्तांतरणासाठी वापरले जाते). आक्रमणकर्त्याच्या सर्व्हरमधून डीएनएस झोन बदल्यांना परवानगी देणारी प्रणालीच या समस्येमुळे प्रभावित होतात (झोन ट्रान्सफर सामान्यत: मास्टर आणि स्लेव्ह सर्व्हर समक्रमित करण्यासाठी वापरली जातात आणि निवडकपणे केवळ विश्वसनीय सर्व्हरसाठी परवानगी दिली जाते). वर्कआउंड म्हणून, आपण "विनंती-ixfr नाही" सेटिंगसह आयएक्सएफआर समर्थन अक्षम करू शकता.
BIND च्या मागील आवृत्त्यांचे वापरकर्ते, अडचणीचे निराकरण करण्यासाठी, जीएसएस-टीएसआयजी अक्षम करू शकतात सेट अप किंवा एसपीएनईजीओ समर्थनाशिवाय BIND पुन्हा तयार करा.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास या नवीन सुधारात्मक आवृत्त्यांच्या रीलीझबद्दल किंवा निश्चित असुरक्षा विषयी, आपण तपशील तपासू शकता पुढील लिंकवर जाऊन.