Несколько дней назадs выпущен выпуск новых корректирующих версий DNS BIND стабильных веток 9.11.31 и 9.16.15, а также находится в разработке экспериментальных ветвей 9.17.12, это наиболее часто используемый DNS-сервер в Интернете и особенно используемый в системах Unix, в которых он является стандартным и спонсируется Консорциумом Интернет-систем.
В публикации новых версий упоминается, что основная цель - исправить три уязвимости, один из которых (CVE-2021-25216) вызывает переполнение буфера.
Упоминается, что в 32-битных системах уязвимость может быть использована для удаленного выполнения кода который был разработан злоумышленником путем отправки специально созданного запроса GSS-TSIG, тогда как для 64-разрядных систем проблема ограничивается блокировкой указанного процесса.
Проблема проявляется только при включенном механизме GSS-TSIG, который активируется настройками tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG по умолчанию отключен и обычно используется в смешанных средах, где BIND сочетается с контроллерами домена Active Directory или когда он интегрирован с Samba.
Уязвимость возникает из-за ошибки в реализации механизма согласования GSSAPI. Простой и безопасный (SPNEGO), который GSSAPI использует для согласования методов защиты, используемых клиентом и сервером. GSSAPI используется как протокол высокого уровня для безопасного обмена ключами с использованием расширения GSS-TSIG, которое используется для аутентификации динамических обновлений в зонах DNS.
Серверы BIND уязвимы, если на них запущена уязвимая версия и настроены для использования функций GSS-TSIG. В конфигурации, использующей конфигурацию BIND по умолчанию, путь к уязвимому коду не отображается, но сервер можно сделать уязвимым, явно задав значения для параметров конфигурации tkey-gssapi-keytabo tkey-gssapi-credential.
Хотя конфигурация по умолчанию не уязвима, GSS-TSIG часто используется в сетях, где BIND интегрирован с Samba, а также в смешанных серверных средах, которые объединяют серверы BIND с контроллерами домена Active Directory. Для серверов, отвечающих этим условиям, реализация ISC SPNEGO уязвима для различных атак, в зависимости от архитектуры ЦП, для которой был построен BIND:
Поскольку критические уязвимости во внутренней реализации SPNEGO обнаружены и ранее, реализация этого протокола удалена из базы кода BIND 9. Для пользователей, которым требуется поддержка SPNEGO, рекомендуется использовать внешнее приложение, предоставленное библиотекой из GSSAPI. система (доступна в MIT Kerberos и Heimdal Kerberos).
Что касается двух других уязвимостей которые были решены с выпуском этой новой корректирующей версии, упоминается следующее:
- CVE-2021-25215: Именованный процесс зависает при обработке записей DNAME (некоторые поддомены обрабатывают перенаправление), что приводит к добавлению дубликатов в раздел ANSWER. Чтобы использовать уязвимость в авторитетных DNS-серверах, требуются изменения в обрабатываемых DNS-зонах, а для рекурсивных серверов проблемная запись может быть получена после обращения к авторитетному серверу.
- CVE-2021-25214: Блокировка именованного процесса при обработке специально сформированного входящего запроса IXFR (используется для инкрементной передачи изменений в зонах DNS между DNS-серверами). Проблема затрагивает только системы, которые разрешили передачу зон DNS с сервера злоумышленника (зональные передачи обычно используются для синхронизации главного и подчиненного серверов и выборочно разрешены только для доверенных серверов). В качестве временного решения можно отключить поддержку IXFR с помощью параметра request-ixfr no.
Пользователи предыдущих версий BIND в качестве решения для блокировки проблемы могут отключить GSS-TSIG. в настройке или перестройке BIND без поддержки SPNEGO.
В конце концов если вам интересно узнать об этом больше о выпуске этих новых корректирующих версий или об исправленных уязвимостях вы можете уточнить подробности перейдя по следующей ссылке.