Pred nekaj dnevis Izšla je nova korektivna različica DNS BIND stabilnih vej 9.11.31 in 9.16.15 in je tudi v razvoju eksperimentalnih vej 9.17.12, je to najpogosteje uporabljen strežnik DNS v internetu in še posebej uporabljen v sistemih Unix, v katerih je standard in sponzorira konzorcij Internet Systems.
V objavi novih različic je omenjeno, da je glavni namen odpraviti tri ranljivosti, od katerih eden (CVE-2021-25216) povzroči prelivanje medpomnilnika.
Omenjeno je, da na 32-bitnih sistemih ranljivost bi lahko izkoristili za oddaljeno izvajanje kode ki ga je napadalec zasnoval s pošiljanjem posebej izdelane zahteve GSS-TSIG, medtem ko je pri 64-bitnih sistemih težava omejena na blokiranje imenovanega procesa.
Problem se pokaže šele, ko je omogočen mehanizem GSS-TSIG, ki ga aktivirata nastavitvi tkey-gssapi-keytab in tkey-gssapi-poverilnice. GSS-TSIG je privzeto onemogočen in se običajno uporablja v mešanih okoljih, kjer je BIND kombiniran s krmilniki domen Active Directory ali kadar je integriran s Sambo.
Ranljivost je posledica napake pri izvajanju pogajalskega mehanizma GSSAPI Preprosto in varno (SPNEGO), ki ga GSSAPI uporablja za pogajanja o zaščitnih metodah, ki jih uporabljata odjemalec in strežnik. GSSAPI se uporablja kot protokol na visoki ravni za varno izmenjavo ključev z uporabo razširitve GSS-TSIG, ki se uporablja za preverjanje pristnosti dinamičnih posodobitev v območjih DNS.
Strežniki BIND so ranljivi, če izvajajo prizadeto različico in so konfigurirani za uporabo funkcij GSS-TSIG. V konfiguraciji, ki uporablja privzeto konfiguracijo BIND, pot ranljive kode ni izpostavljena, lahko pa strežnik postane ranljiv z izrecnim nastavljanjem vrednosti za možnosti konfiguracije tkey-gssapi-keytabo tkey-gssapi-credential.
Čeprav privzeta konfiguracija ni ranljiva, se GSS-TSIG pogosto uporablja v omrežjih, kjer je BIND integriran s Sambo, pa tudi v mešanih strežniških okoljih, ki združujejo BIND strežnike z domenskimi krmilniki Active Directory. Za strežnike, ki izpolnjujejo te pogoje, je izvedba ISC SPNEGO ranljiva za različne napade, odvisno od arhitekture CPU, za katero je bil zgrajen BIND:
Ker so bile odkrite kritične ranljivosti v notranji izvedbi SPNEGO in prej, je izvedba tega protokola odstranjena iz osnove kode BIND 9. Za uporabnike, ki morajo podpirati SPNEGO, je priporočljivo uporabiti zunanjo aplikacijo, ki jo je knjižnica zagotovila iz GSSAPI. sistem (na voljo pri MIT Kerberos in Heimdal Kerberos).
Kar zadeva drugi dve ranljivosti ki so bili rešeni s sprostitvijo te nove korektivne različice, so omenjeni naslednji:
- CVE-2021-25215: Poimenovani postopek visi pri obdelavi zapisov DNAME (nekatere preusmeritve obdelajo nekatere poddomene), kar vodi k dodajanju dvojnikov v odsek ANSWER. Za izkoriščanje ranljivosti v avtoritativnih strežnikih DNS so potrebne spremembe obdelanih območij DNS, za rekurzivne strežnike pa lahko po vzpostavitvi stika z avtoritativnim strežnikom dobite problematičen zapis.
- CVE-2021-25214: Blokiranje imenovanega procesa pri obdelavi posebej oblikovane dohodne zahteve IXFR (uporablja se za postopni prenos sprememb v območjih DNS med strežniki DNS). Težava vpliva samo na sisteme, ki so dovolili prenose območij DNS s strežnika napadalca (prenosi območij se običajno uporabljajo za sinhronizacijo glavnega in pomožnega strežnika in so selektivno dovoljeni samo za zaupanja vredne strežnike). Kot rešitev lahko podporo IXFR onemogočite z nastavitvijo "request-ixfr no".
Uporabniki prejšnjih različic BIND lahko kot rešitev za preprečitev težave onemogočijo GSS-TSIG pri namestitvi ali obnovi BIND brez podpore SPNEGO.
Končno če vas zanima več o tem o izdaji teh novih popravnih različic ali o odpravljenih ranljivostih lahko preverite podrobnosti tako, da odprete naslednjo povezavo.