DNS BIND အသစ်အသစ်များသည် Remote Code Execution Vulnerability ကိုဖြေရှင်းသည်

ရက်အနည်းငယ်အကြာမှန်ကန်သော DNS BIND မူကွဲအသစ်များကိုထုတ်ပြန်ခဲ့သည် တည်ငြိမ်သောအကိုင်းအခက်များ ၉.၁၁.၃၁ နှင့် ၉.၁၆.၁၅ နှင့်စမ်းသပ်သောအခက်များ ၉.၁၇.၁၂ ဖွံ့ဖြိုးတိုးတက်မှုတွင်ဤသည်သည်အင်တာနက်ပေါ်တွင်အသုံးများဆုံး DNS server ဖြစ်ပြီးအထူးသဖြင့်၎င်းသည်စံဖြစ်သော Unix စနစ်များတွင်ဖြစ်သည်။ ဤသည်ကိုအင်တာနက်စနစ်များ Consortium ကကမကထပြုသည်။

ဗားရှင်းအသစ်များထုတ်ဝေရာတွင်အဓိကရည်ရွယ်ချက်မှာအားနည်းချက်သုံးခုကိုပြုပြင်ရန်ဖြစ်သည်။ အရာတစ်ခု (CVE-2021-25216) တစ် ဦး ကြားခံလျှံကိုဖြစ်ပေါ်စေသည်။

ဒါဟာ 32-bit စနစ်များပေါ်တွင်ဖော်ပြခဲ့တဲ့ဖြစ်ပါတယ် အားနည်းချက်ကုဒ် execute မှခေါင်းပုံဖြတ်နိုင်ပါတယ် ၎င်းကိုအထူးပြုလုပ်ထားသော GSS-TSIG တောင်းဆိုမှုကိုပေးပို့ခြင်းဖြင့်တိုက်ခိုက်သူကဒီဇိုင်းဆွဲခဲ့ခြင်းဖြစ်သည်။ 64-bit systems အတွက်မူပြproblemနာသည်အမည်ရှိလုပ်ငန်းစဉ်ကိုပိတ်ဆို့ရန်ကန့်သတ်ထားသည်။

ပြဿနာ GSS-TSIG ယန္တရားဖွင့်မှသာသူ့ဟာသူပေါ်လာလိမ့်မည်။ tkey-gssapi-keytab နှင့် tkey-gssapi-credential ဆက်တင်များကလုပ်ဆောင်သည်။ GSS-TSIG ကိုပုံမှန်အားဖြင့်ပိတ်ထားပြီး BIND ကို Active Directory ဒိုမိန်းထိန်းချုပ်သူများနှင့်ပေါင်းစပ်သည့်အခါသို့မဟုတ်၎င်းသည် Samba နှင့်ပေါင်းစပ်သည့်ပတ်ဝန်းကျင်တွင်အသုံးပြုသည်။

အားနည်းချက်သည် GSSAPI ညှိနှိုင်းရေးယန္တရား၏အမှားကြောင့်ဖြစ်သည် GSSAPI သည်သုံးစွဲသူနှင့်ဆာဗာမှအသုံးပြုသောကာကွယ်မှုနည်းလမ်းများကိုညှိနှိုင်းရန်အသုံးပြုသော Simple and Secure (SPNEGO) ။ GSSAPI သည်မြင့်မားသောအဆင့်မြင့် protocol တစ်ခုအနေဖြင့်အသုံးပြုသည်။ DSS ဇုန်များတွင်ပြောင်းလဲနေသောအသစ်ပြောင်းခြင်းများကိုစစ်မှန်ကြောင်းအတည်ပြုသည့် GSS-TSIG extension ကို အသုံးပြု၍ လုံခြုံသောသော့ချက်ဖလှယ်ခြင်းအတွက်အသုံးပြုသည်။

အကယ်၍ ၎င်းတို့သည်သက်ဆိုင်ရာဗားရှင်းကို run ။ GSS-TSIG လုပ်ဆောင်ချက်များကိုအသုံးပြုရန်ပြင်ဆင်ထားပါက BIND ဆာဗာများသည်အားနည်းချက်ရှိသည်။ ပုံမှန် BIND configuration ကိုအသုံးပြုသော configuration တစ်ခုတွင်vulnerabbiltàကုဒ်၏လမ်းကြောင်းကိုမဖော်ထုတ်ပါ၊ tkey-gssapi-credential အတွက် tkey-gssapi-keytabo configuration options အတွက်တန်ဖိုးများကိုအတိအလင်းသတ်မှတ်ခြင်းဖြင့် server ကိုအားနည်းချက်ရှိစေနိုင်သည်။

default settings များသည်အားနည်းချက်မဟုတ်သော်လည်း GSS-TSIG ကို BIND နှင့် Samba နှင့်ပေါင်းစပ်ထားသောကွန်ရက်များအပြင် BIND ဆာဗာများကို Active Directory ဒိုမိန်းထိန်းချုပ်သူများနှင့်ပေါင်းစပ်ထားသောရောနှောထားသောဆာဗာများတွင်မကြာခဏအသုံးပြုသည်။ ဤအခြေအနေများနှင့်ကိုက်ညီသောဆာဗာများအတွက် ISC SPNEGO အကောင်အထည်ဖော်မှုသည် BIND တည်ဆောက်ခဲ့သော CPU တည်ဆောက်ပုံပေါ် မူတည်၍ တိုက်ခိုက်မှုအမျိုးမျိုးအတွက်အားနည်းသည်။

SPNEGO ၏အတွင်းပိုင်း SPNEGO အကောင်အထည်ဖော်မှုတွင်တွေ့ရှိရပြီးအစောပိုင်းကဤ protocol ၏အကောင်အထည်ဖော်မှုကို BIND 9 ကုဒ်အခြေစိုက်စခန်းမှဖယ်ရှားသည်။ စနစ် (MIT Kerberos နှင့် Heimdal Kerberos မှရရှိနိုင်သည်) ။

အခြားအားနည်းချက်နှစ်ခု ဒီမှန်ကန်သောဗားရှင်းအသစ်ဖြန့်ချိနှင့်အတူဖြေရှင်းခဲ့ကြသည်အောက်ပါဖော်ပြခဲ့တဲ့နေကြသည်

  • CVE-2021-25215 DNAME မှတ်တမ်းများ (အချို့သော subdomains များ redirection processing) သည် process လုပ်တဲ့အခါ Named process သည် crash ဖြစ်ပြီး၊ လုပ်ပိုင်ခွင့်ရှိသော DNS ဆာဗာများရှိအားနည်းချက်ကိုအသုံးချရန်၊ ပြုပြင်ထားသော DNS ဇုန်များအတွက်အပြောင်းအလဲများလိုအပ်သည်။ ပြန်လည်ထူထောင်ရေးဆာဗာများအတွက်မူခွင့်ပြုထားသောဆာဗာနှင့်ဆက်သွယ်ပြီးနောက်ပြproblemနာကိုမှတ်တမ်းရယူနိုင်သည်။
  • CVE-2021-25214 အထူးဖွဲ့စည်းထားသော ၀ င်လာသည့် IXFR တောင်းဆိုမှုကို (DNS server များအကြား DNS ဇုန်များပြောင်းလဲမှုကိုလွှဲပြောင်းရာတွင်အသုံးပြုသည်) လုပ်ဆောင်စဉ်အမည်ပေးသည့်လုပ်ငန်းစဉ်ပိတ်ဆို့ခြင်း။ ပြer'sနာကြောင့် attacker ၏ server မှ DNS zone transfer ကိုခွင့်ပြုသည့် system များသာ (zone transfer များသည် master နှင့် slave server များကိုပုံမှန်အားဖြင့်အသုံးပြုပြီးယုံကြည်စိတ်ချရသော server များအတွက်သာရွေးချယ်ခွင့်ပြုသည်) ။ ပြသနာကိုကျော်လွှားနိုင်ရန်အတွက် IXFR အထောက်အပံ့ကို "request-ixfr no" setting ဖြင့်ပိတ်နိုင်သည်။

ယခင် BIND ဗားရှင်းအသုံးပြုသူများသည်ပြSSနာကိုပိတ်ဆို့ရန်အဖြေတစ်ခုအနေနှင့် GSS-TSIG ကိုပိတ်နိုင်သည် SPNEGO အထောက်အပံ့မပါပဲ BIND ကို setup or rebuild လုပ်ပါ။

Finalmente သင်ကအကြောင်းပိုမိုသိရန်စိတ်ဝင်စားလျှင် ဤမှန်ကန်သောမူကွဲအသစ်များထုတ်ပြန်ခြင်းသို့မဟုတ်ပြင်ဆင်ထားသောအားနည်းချက်များနှင့် ပတ်သက်၍ အသေးစိတ်ကိုသင်စစ်ဆေးနိုင်သည် အောက်ပါ link ကိုသွားသဖြင့်။


ဆောင်းပါး၏ပါ ၀ င်မှုသည်ကျွန်ုပ်တို့၏အခြေခံမူများကိုလိုက်နာသည် အယ်ဒီတာအဖွဲ့ကျင့်ဝတ်။ အမှားတစ်ခုကိုသတင်းပို့ရန်ကလစ်နှိပ်ပါ ဒီမှာ.

မှတ်ချက်ပေးရန်ပထမဦးဆုံးဖြစ်

သင်၏ထင်မြင်ချက်ကိုချန်ထားပါ

သင့်အီးမေးလ်လိပ်စာပုံနှိပ်ထုတ်ဝေမည်မဟုတ်ပါ။ တောင်းဆိုနေတဲ့လယ်ယာနှင့်အတူမှတ်သားထားတဲ့ *

*

*

  1. အချက်အလက်အတွက်တာဝန်ရှိသည် - Miguel ÁngelGatón
  2. အချက်အလက်များ၏ရည်ရွယ်ချက်: ထိန်းချုပ်ခြင်း SPAM, မှတ်ချက်စီမံခန့်ခွဲမှု။
  3. တရားဝင်: သင်၏ခွင့်ပြုချက်
  4. အချက်အလက်များ၏ဆက်သွယ်မှု - ဒေတာများကိုဥပဒေအရတာ ၀ န်ယူမှုမှ လွဲ၍ တတိယပါတီများသို့ဆက်သွယ်မည်မဟုတ်ပါ။
  5. ဒေတာသိမ်းဆည်းခြင်း: Occentus ကွန်ယက်များ (အီးယူ) မှလက်ခံသည့်ဒေတာဘေ့စ
  6. အခွင့်အရေး - မည်သည့်အချိန်တွင်မဆိုသင်၏အချက်အလက်များကိုကန့်သတ်၊