Nya DNS BIND-uppdateringar adresserar en sårbarhet med fjärrkörning av kod

För flera dagar sedans släpptes nya korrigerande DNS BIND-versioner av de stabila filialerna 9.11.31 och 9.16.15 och är också under utveckling av de experimentella filialerna 9.17.12, detta är den vanligaste DNS-servern på Internet och speciellt används på Unix-system, där den är en standard och sponsras av Internet Systems Consortium.

I publiceringen av de nya versionerna nämns det att huvudsyftet är att korrigera tre sårbarheter, varav en (CVE-2021-25216) orsakar ett buffertöverflöde.

Det nämns att på 32-bitars system, sårbarheten kan utnyttjas för att fjärrköra kod som designades av angriparen genom att skicka en speciellt utformad GSS-TSIG-begäran, medan för 64-bitars system är problemet begränsat till att blockera den namngivna processen.

Problemet manifesterar sig bara när GSS-TSIG-mekanismen är aktiverad, som aktiveras av inställningarna tkey-gssapi-keytab och tkey-gssapi-credential. GSS-TSIG är inaktiverat som standard och används vanligtvis i blandade miljöer där BIND kombineras med Active Directory-domänkontrollanter eller när den är integrerad med Samba.

Sårbarheten beror på ett fel vid implementeringen av GSSAPI-förhandlingsmekanismen Simple and Secure (SPNEGO), som GSSAPI använder för att förhandla om de skyddsmetoder som används av klienten och servern. GSSAPI används som ett högnivåprotokoll för säker nyckelutbyte med GSS-TSIG-tillägget, som används för att autentisera dynamiska uppdateringar i DNS-zoner.

BIND-servrar är sårbara om de kör en påverkad version och är konfigurerade för att använda GSS-TSIG-funktionerna. I en konfiguration som använder standard BIND-konfigurationen exponeras inte den sårbara kodens sökväg, men en server kan göras sårbar genom att uttryckligen ställa in värden för konfigurationsalternativen tkey-gssapi-keytabo tkey-gssapi-referens.

Även om standardinställningarna inte är sårbara används GSS-TSIG ofta i nätverk där BIND är integrerat med Samba, liksom i blandade servermiljöer som kombinerar BIND-servrar med Active Directory-domänkontrollanter. För servrar som uppfyller dessa villkor är ISC SPNEGO-implementeringen sårbar för olika attacker, beroende på CPU-arkitekturen som BIND byggdes för:

Eftersom de kritiska sårbarheterna i den interna SPNEGO-implementeringen hittades och tidigare tas implementeringen av detta protokoll bort från kodbasen BIND 9. För användare som behöver stödja SPNEGO rekommenderas det att använda en extern applikation som tillhandahålls av biblioteket från GSSAPI (tillgängligt från MIT Kerberos och Heimdal Kerberos).

När det gäller de andra två sårbarheterna som löstes med lanseringen av denna nya korrigerande version nämns följande:

  • CVE-2021-25215: Namngiven process hänger vid bearbetning av DNAME-poster (vissa underdomäner bearbetar omdirigering), vilket leder till att dubbletter läggs till i SVAR-avsnittet. För att utnyttja sårbarheten i auktoritativa DNS-servrar krävs ändringar i bearbetade DNS-zoner, och för rekursiva servrar kan en problematisk post erhållas efter kontakt med den auktoritativa servern.
  • CVE-2021-25214: Namngiven processblockering vid bearbetning av en speciellt utformad inkommande IXFR-begäran (används för inkrementell överföring av ändringar i DNS-zoner mellan DNS-servrar). Endast system som har tillåtit DNS-zonöverföringar från angriparens server påverkas av problemet (zonöverföringar används vanligtvis för att synkronisera master- och slaveservrar och är selektivt endast tillåtna för betrodda servrar). Som en lösning kan du inaktivera IXFR-stöd med inställningen "begär-ixfr nr".

Användare av tidigare versioner av BIND, som en lösning för att blockera problemet, kan inaktivera GSS-TSIG vid installation eller ombyggnad av BIND utan SPNEGO-stöd.

Slutligen om du är intresserad av att veta mer om det om utgivningen av dessa nya korrigeringsversioner eller om fixade sårbarheter kan du kontrollera detaljerna genom att gå till följande länk.


Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.