Нова ажурирања ДНС БИНД-а адресирају рањивост удаљеног извршавања кода

Пре неколико данас издање нових корективних ДНС БИНД верзија стабилних грана 9.11.31 и 9.16.15 и такође је у развоју експерименталних грана 9.17.12, ово је најчешће коришћени ДНС сервер на Интернету, а посебно се користи на Уник системима, у којима је стандард и спонзорише Интернет систем конзорцијум.

У публикацији нових верзија помиње се да је главна намера исправити три рањивости, од којих један (ЦВЕ-2021-25216) изазива преливање бафера.

Помиње се да на 32-битним системима, рањивост се може искористити за даљинско извршавање кода коју је нападач дизајнирао слањем посебно израђеног ГСС-ТСИГ захтева, док је за 64-битне системе проблем ограничен на блокирање именованог процеса.

Проблем манифестује се само када је омогућен ГСС-ТСИГ механизам, који се активира подешавањима ткеи-гссапи-кеитаб и ткеи-гссапи-акредитива. ГСС-ТСИГ је подразумевано онемогућен и обично се користи у мешовитим окружењима где се БИНД комбинује са контролерима домена Ацтиве Дирецтори или када је интегрисан са Самбом.

Рањивост је настала услед грешке у примени ГССАПИ преговарачког механизма Једноставно и сигурно (СПНЕГО), које ГССАПИ користи за договарање метода заштите које користе клијент и сервер. ГССАПИ се користи као протокол високог нивоа за сигурну размену кључева помоћу ГСС-ТСИГ екстензије, која се користи за потврду идентитета динамичких ажурирања у ДНС зонама.

БИНД сервери су рањиви ако имају погођену верзију и конфигурисани су да користе ГСС-ТСИГ функције. У конфигурацији која користи подразумевану БИНД конфигурацију, пут рањивог кода није изложен, али сервер може бити рањив експлицитним подешавањем вредности за опције конфигурације ткеи-гссапи-кеитабо ткеи-гссапи-цредентиал.

Иако подразумевана конфигурација није рањива, ГСС-ТСИГ се често користи у мрежама где је БИНД интегрисан са Самбом, као и у мешовитим серверским окружењима која комбинују БИНД сервере са контролерима домена Ацтиве Дирецтори. За сервере који испуњавају ове услове, имплементација ИСЦ СПНЕГО је осетљива на разне нападе, у зависности од ЦПУ архитектуре за коју је БИНД изграђен:

Будући да су пронађене и раније критичне рањивости у интерној имплементацији СПНЕГО, имплементација овог протокола уклања се из базе кода БИНД 9. За кориснике који требају да подрже СПНЕГО, препоручује се употреба спољне апликације коју библиотека обезбеђује из ГССАПИ систем (доступан од МИТ Керберос и Хеимдал Керберос).

Што се тиче друге две рањивости који су решени издавањем ове нове корективне верзије, помињу се следећи:

  • ЦВЕ-2021-25215: Именовани процес виси приликом обраде ДНАМЕ записа (неки поддомени обрађују преусмеравање), што доводи до додавања дупликата у одељак АНСВЕР. Да би се искористила рањивост на ауторитативним ДНС серверима, потребне су промене на обрађеним ДНС зонама, а за рекурзивне сервере се може добити проблематични запис након контактирања меродавног сервера.
  • ЦВЕ-2021-25214: Блокирање именованог процеса при обради посебно формираног долазног ИКСФР захтева (користи се за постепени пренос промена у ДНС зонама између ДНС сервера). Проблем је погођен само системима који су дозволили пренос ДНС зона са сервера нападача (трансфери зона се обично користе за синхронизацију главног и помоћног сервера и селективно су дозвољени само за поуздане сервере). Као заобилазно решење можете да онемогућите ИКСФР подршку подешавањем „рекуест-икфр но“.

Корисници претходних верзија БИНД-а, као решење за блокирање проблема, могу да онемогуће ГСС-ТСИГ у подешавању или поновној изградњи БИНД-а без СПНЕГО подршке.

Коначно ако сте заинтересовани да сазнате више о томе о издању ових нових корективних верзија или о отклоњеним рањивостима можете погледати детаље одласком на следећу везу.


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.