Noile actualizări DNS BIND abordează o vulnerabilitate la executarea codului la distanță

Acum câteva ziles-a lansat noile versiuni corective de DNS BIND a ramurilor stabile 9.11.31 și 9.16.15 și se află, de asemenea, în dezvoltarea ramurilor experimentale 9.17.12, acesta este serverul DNS cel mai frecvent utilizat pe internet și utilizat în special pe sistemele Unix, în care este un standard și este sponsorizat de Internet Systems Consortium.

În publicarea noilor versiuni, se menționează că intenția principală este de a corecta trei vulnerabilități, dintre care unul (CVE-2021-25216) provoacă o revărsare a bufferului.

Se menționează că pe sistemele pe 32 de biți, vulnerabilitatea ar putea fi exploatată pentru a executa de la distanță codul care a fost proiectat de atacator prin trimiterea unei cereri special concepute GSS-TSIG, în timp ce pentru sistemele pe 64 de biți, problema se limitează la blocarea procesului numit.

Problema se manifestă numai atunci când mecanismul GSS-TSIG este activat, care este activat de setările tkey-gssapi-keytab și tkey-gssapi-credential. GSS-TSIG este dezactivat în mod implicit și este utilizat în general în medii mixte în care BIND este combinat cu controlere de domeniu Active Directory sau când este integrat cu Samba.

Vulnerabilitatea se datorează unei erori în implementarea Mecanismului de negociere GSSAPI Simplu și sigur (SPNEGO), pe care GSSAPI îl folosește pentru a negocia metodele de protecție utilizate de client și server. GSSAPI este utilizat ca protocol la nivel înalt pentru schimbul de chei securizat utilizând extensia GSS-TSIG, care este utilizată pentru autentificarea actualizărilor dinamice în zonele DNS.

Serverele BIND sunt vulnerabile dacă rulează o versiune afectată și sunt configurate pentru a utiliza funcțiile GSS-TSIG. Într-o configurație care utilizează configurația implicită BIND, calea codului vulnerabil nu este expusă, dar un server poate fi făcut vulnerabil prin setarea explicită a valorilor pentru opțiunile de configurare tkey-gssapi-keytabo tkey-gssapi-credential.

Deși setările implicite nu sunt vulnerabile, GSS-TSIG este frecvent utilizat în rețelele în care BIND este integrat cu Samba, precum și în medii de servere mixte care combină servere BIND cu controlere de domeniu Active Directory. Pentru serverele care îndeplinesc aceste condiții, implementarea ISC SPNEGO este vulnerabilă la diverse atacuri, în funcție de arhitectura CPU pentru care a fost construit BIND:

Deoarece vulnerabilitățile critice din implementarea SPNEGO internă au fost găsite și mai devreme, implementarea acestui protocol este eliminată din baza de cod BIND 9. Pentru utilizatorii care au nevoie să accepte SPNEGO, se recomandă utilizarea unei aplicații externe furnizate de bibliotecă din GSSAPI sistem (disponibil de la MIT Kerberos și Heimdal Kerberos).

În ceea ce privește celelalte două vulnerabilități care au fost rezolvate odată cu lansarea acestei noi versiuni corective, sunt menționate următoarele:

  • CVE-2021-25215: Procesul numit se blochează la procesarea înregistrărilor DNAME (unele subdomenii procesează redirecționarea), ducând la adăugarea de duplicate la secțiunea RĂSPUNS. Pentru a exploata vulnerabilitatea în serverele DNS autorizate, sunt necesare modificări ale zonelor DNS procesate, iar pentru serverele recursive, se poate obține o înregistrare problematică după contactarea serverului autoritar.
  • CVE-2021-25214: Blocare proces numită atunci când se procesează o cerere IXFR primită special formată (utilizată pentru transferul incremental al modificărilor din zonele DNS între serverele DNS). Numai sistemele care au permis transferuri de zone DNS de pe serverul atacatorului sunt afectate de problemă (transferurile de zonă sunt de obicei utilizate pentru sincronizarea serverelor master și slave și sunt permise selectiv numai pentru serverele de încredere). Ca soluție, puteți dezactiva suportul IXFR cu setarea „request-ixfr no”.

Utilizatorii versiunilor anterioare de BIND, ca soluție pentru a bloca problema, pot dezactiva GSS-TSIG în configurare sau reconstruire BIND fără suport SPNEGO.

În cele din urmă dacă sunteți interesat să aflați mai multe despre asta despre lansarea acestor noi versiuni corective sau despre vulnerabilitățile remediate, puteți verifica detaliile accesând următorul link.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.