For flere dager sidens utgivelsen av nye korrigerende DNS BIND-versjoner ble utgitt av de stabile grenene 9.11.31 og 9.16.15 og er også i utvikling av de eksperimentelle grenene 9.17.12, er dette den mest brukte DNS-serveren på Internett og spesielt brukt på Unix-systemer, der den er en standard og er sponset av Internet Systems Consortium.
I publiseringen av de nye versjonene nevnes det at hovedintensjonen er å rette opp tre sårbarheter, den ene (CVE-2021-25216) forårsaker bufferoverløp.
Det nevnes at på 32-bits systemer, sårbarheten kan utnyttes til å kjøre kode eksternt som ble designet av angriperen ved å sende en spesiallaget GSS-TSIG-forespørsel, mens problemet for 64-bits systemer er begrenset til å blokkere den nevnte prosessen.
Problemet manifesterer seg bare når GSS-TSIG-mekanismen er aktivert, som aktiveres av innstillingene for tkey-gssapi-keytab og tkey-gssapi-legitimasjon. GSS-TSIG er deaktivert som standard og brukes vanligvis i blandede miljøer der BIND er kombinert med Active Directory-domenekontrollere eller når den er integrert med Samba.
Sårbarheten skyldes en feil i implementeringen av GSSAPI Negotiation Mechanism Simple and Secure (SPNEGO), som GSSAPI bruker for å forhandle om beskyttelsesmetodene som brukes av klienten og serveren. GSSAPI brukes som et høyt nivåprotokoll for sikker nøkkelutveksling ved hjelp av GSS-TSIG-utvidelsen, som brukes til å autentisere dynamiske oppdateringer i DNS-soner.
BIND-servere er sårbare hvis de kjører en berørt versjon og konfigurert til å bruke GSS-TSIG-funksjonene. I en konfigurasjon som bruker standard BIND-konfigurasjon, blir ikke banen til den sårbare koden eksponert, men en server kan gjøres sårbar ved eksplisitt å angi verdier for konfigurasjonsalternativene tkey-gssapi-keytabo tkey-gssapi-legitimasjon.
Selv om standardkonfigurasjonen ikke er sårbar, brukes GSS-TSIG ofte i nettverk der BIND er integrert med Samba, så vel som i blandede servermiljøer som kombinerer BIND-servere med Active Directory-domenekontrollere. For servere som oppfyller disse betingelsene, er ISC SPNEGO-implementeringen sårbar for forskjellige angrep, avhengig av CPU-arkitekturen som BIND ble bygget for:
Siden de kritiske sårbarhetene i den interne SPNEGO-implementeringen som ble funnet og tidligere, blir implementeringen av denne protokollen fjernet fra BIND 9.-kodebasen. For brukere som trenger å støtte SPNEGO, anbefales det å bruke en ekstern applikasjon levert av biblioteket fra GSSAPI system (tilgjengelig fra MIT Kerberos og Heimdal Kerberos).
Når det gjelder de to andre sårbarhetene som ble løst med utgivelsen av denne nye korrigerende versjonen, nevnes følgende:
- CVE-2021-25215: Navngitt prosess henger når du behandler DNAME-poster (noen underdomener behandler omdirigering), noe som fører til tillegg av duplikater til SVAR-seksjonen. For å utnytte sårbarheten i autoritative DNS-servere, er det nødvendig med endringer i behandlede DNS-soner, og for rekursive servere kan en problematisk post oppnås etter kontakt med den autoritative serveren.
- CVE-2021-25214: Navngitt prosessblokkering når du behandler en spesielt utformet innkommende IXFR-forespørsel (brukes til trinnvis overføring av endringer i DNS-soner mellom DNS-servere). Bare systemer som har tillatt DNS-soneoverføring fra angriperens server, påvirkes av problemet (soneoverføringer brukes vanligvis til å synkronisere master- og slaveservere og er selektivt bare tillatt for pålitelige servere). Som en løsning kan du deaktivere IXFR-støtte med innstillingen "forespørsel-ixfr nei".
Brukere av tidligere versjoner av BIND, som en løsning for å blokkere problemet, kan deaktivere GSS-TSIG i oppsett eller gjenoppbygging av BIND uten SPNEGO-støtte.
Endelig hvis du er interessert i å vite mer om det om utgivelsen av disse nye korrigerende versjonene eller om sårbarhetene som er løst, kan du sjekke detaljene ved å gå til følgende lenke.