பல நாட்களுக்கு முன்புபுதிய திருத்தப்பட்ட டிஎன்எஸ் பைண்ட் பதிப்புகள் வெளியிடப்பட்டன நிலையான கிளைகளில் 9.11.31 மற்றும் 9.16.15 மற்றும் சோதனைக் கிளைகளின் வளர்ச்சியிலும் உள்ளது 9.17.12, இது இணையத்தில் பொதுவாகப் பயன்படுத்தப்படும் டிஎன்எஸ் சேவையகம் மற்றும் குறிப்பாக யூனிக்ஸ் கணினிகளில் பயன்படுத்தப்படுகிறது, இதில் இது ஒரு தரநிலை மற்றும் இணைய அமைப்புகள் கூட்டமைப்பு நிதியுதவி செய்கிறது.
புதிய பதிப்புகளின் வெளியீட்டில் மூன்று பாதிப்புகளை சரிசெய்வதே முக்கிய நோக்கம் என்று குறிப்பிடப்பட்டுள்ளது, அவற்றில் ஒன்று (CVE-2021-25216) இடையக வழிதல் ஏற்படுகிறது.
32 பிட் கணினிகளில், குறியீட்டை தொலைவிலிருந்து இயக்க பாதிப்பு பயன்படுத்தப்படலாம் இது சிறப்பாக வடிவமைக்கப்பட்ட ஜிஎஸ்எஸ்-டிஎஸ்ஐஜி கோரிக்கையை அனுப்புவதன் மூலம் தாக்குபவரால் வடிவமைக்கப்பட்டது, அதேசமயம் 64-பிட் அமைப்புகளுக்கு, சிக்கல் பெயரிடப்பட்ட செயல்முறையைத் தடுப்பதில் மட்டுமே உள்ளது.
பிரச்சனை GSS-TSIG வழிமுறை இயக்கப்பட்டால் மட்டுமே தன்னை வெளிப்படுத்துகிறது, இது tkey-gssapi-keytab மற்றும் tkey-gssapi-credential அமைப்புகளால் செயல்படுத்தப்படுகிறது. GSS-TSIG இயல்பாகவே முடக்கப்பட்டுள்ளது மற்றும் பொதுவாக கலப்பு சூழல்களில் பயன்படுத்தப்படுகிறது, அங்கு BIND ஆக்டிவ் டைரக்டரி டொமைன் கன்ட்ரோலர்களுடன் இணைக்கப்படுகிறது அல்லது அது சம்பாவுடன் ஒருங்கிணைக்கப்படும்.
GSSAPI பேச்சுவார்த்தை பொறிமுறையை செயல்படுத்துவதில் ஏற்பட்ட பிழை காரணமாக பாதிப்பு ஏற்படுகிறது எளிய மற்றும் பாதுகாப்பான (SPNEGO), இது கிளையன்ட் மற்றும் சேவையகத்தால் பயன்படுத்தப்படும் பாதுகாப்பு முறைகளைப் பற்றி பேச்சுவார்த்தை நடத்த GSSAPI பயன்படுத்துகிறது. GSSAPI ஆனது GSS-TSIG நீட்டிப்பைப் பயன்படுத்தி பாதுகாப்பான விசை பரிமாற்றத்திற்கான உயர்-நிலை நெறிமுறையாகப் பயன்படுத்தப்படுகிறது, இது DNS மண்டலங்களில் மாறும் புதுப்பிப்புகளை அங்கீகரிக்கப் பயன்படுகிறது.
பாதிக்கப்பட்ட பதிப்பை இயக்கி, GSS-TSIG செயல்பாடுகளைப் பயன்படுத்த கட்டமைக்கப்பட்டிருந்தால் BIND சேவையகங்கள் பாதிக்கப்படக்கூடியவை. இயல்புநிலை BIND உள்ளமைவைப் பயன்படுத்தும் உள்ளமைவில், பாதிக்கப்படக்கூடிய குறியீட்டின் பாதை அம்பலப்படுத்தப்படவில்லை, ஆனால் tkey-gssapi-keytabo உள்ளமைவு விருப்பங்களுக்கான tkey-gssapi-credential க்கான மதிப்புகளை வெளிப்படையாக அமைப்பதன் மூலம் ஒரு சேவையகத்தை பாதிக்கக்கூடியதாக மாற்ற முடியும்.
இயல்புநிலை உள்ளமைவு பாதிக்கப்படாவிட்டாலும், ஜி.எஸ்.எஸ்-டி.எஸ்.ஐ.ஜி சம்பாவுடன் பி.என்.டி ஒருங்கிணைக்கப்பட்ட நெட்வொர்க்குகளிலும், அதே போல் பி.என்.டி சேவையகங்களை செயலில் உள்ள டைரக்டரி டொமைன் கன்ட்ரோலர்களுடன் இணைக்கும் கலப்பு சேவையக சூழல்களிலும் பயன்படுத்தப்படுகிறது. இந்த நிபந்தனைகளை பூர்த்தி செய்யும் சேவையகங்களுக்கு, BIND கட்டமைக்கப்பட்ட CPU கட்டமைப்பைப் பொறுத்து, ISC SPNEGO செயல்படுத்தல் பல்வேறு தாக்குதல்களுக்கு பாதிக்கப்படக்கூடியது:
உள் SPNEGO செயலாக்கத்தில் உள்ள முக்கியமான பாதிப்புகள் கண்டறியப்பட்டதிலிருந்து மற்றும் அதற்கு முன்னர், இந்த நெறிமுறையின் செயல்படுத்தல் BIND 9 குறியீடு தளத்திலிருந்து அகற்றப்பட்டது. SPNEGO ஐ ஆதரிக்க வேண்டிய பயனர்களுக்கு, GSSAPI இலிருந்து நூலகத்தால் வழங்கப்பட்ட வெளிப்புற பயன்பாட்டைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது. அமைப்பு (எம்ஐடி கெர்பரோஸ் மற்றும் ஹெய்டால் கெர்பரோஸிலிருந்து கிடைக்கிறது).
மற்ற இரண்டு பாதிப்புகளைப் பொறுத்தவரை இந்த புதிய திருத்த பதிப்பின் வெளியீட்டில் தீர்க்கப்பட்டவை, பின்வருபவை குறிப்பிடப்பட்டுள்ளன:
- சி.வி.இ -2021-25215: டி.என்.ஏ.எம் பதிவுகளைச் செயலாக்கும்போது பெயரிடப்பட்ட செயல்முறை செயலிழக்கிறது (சில துணை டொமைன்கள் செயலாக்க திசைமாற்றம்), இது ANSWER பிரிவில் நகல்களைச் சேர்க்க வழிவகுக்கிறது. அதிகாரப்பூர்வ டிஎன்எஸ் சேவையகங்களில் உள்ள பாதிப்பைப் பயன்படுத்த, செயலாக்கப்பட்ட டிஎன்எஸ் மண்டலங்களில் மாற்றங்கள் தேவை, மற்றும் சுழல்நிலை சேவையகங்களுக்கு, அங்கீகார சேவையகத்தைத் தொடர்பு கொண்ட பிறகு ஒரு சிக்கலான பதிவைப் பெறலாம்.
- சி.வி.இ -2021-25214: சிறப்பாக உருவாக்கப்பட்ட உள்வரும் IXFR கோரிக்கையைச் செயலாக்கும்போது பெயரிடப்பட்ட செயல்முறை தடுப்பு (டிஎன்எஸ் சேவையகங்களுக்கு இடையில் டிஎன்எஸ் மண்டலங்களில் மாற்றங்களை அதிகரிப்பதற்குப் பயன்படுத்தப்படுகிறது). தாக்குபவரின் சேவையகத்திலிருந்து டிஎன்எஸ் மண்டல இடமாற்றங்களை அனுமதித்த அமைப்புகள் மட்டுமே சிக்கலால் பாதிக்கப்படுகின்றன (மண்டல இடமாற்றங்கள் பொதுவாக முதன்மை மற்றும் அடிமை சேவையகங்களை ஒத்திசைக்கப் பயன்படுகின்றன, மேலும் அவை நம்பகமான சேவையகங்களுக்கு மட்டுமே தேர்ந்தெடுக்கப்படுகின்றன). ஒரு பணியிடமாக, நீங்கள் "request-ixfr no" அமைப்பைக் கொண்டு IXFR ஆதரவை முடக்கலாம்.
BIND இன் முந்தைய பதிப்புகளின் பயனர்கள், சிக்கலைத் தடுப்பதற்கான தீர்வாக, GSS-TSIG ஐ முடக்கலாம் SPNEGO ஆதரவு இல்லாமல் BIND ஐ அமைக்கவும் அல்லது மீண்டும் உருவாக்கவும்.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் இந்த புதிய திருத்த பதிப்புகளின் வெளியீடு அல்லது சரி செய்யப்பட்ட பாதிப்புகள் பற்றி, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பிற்குச் செல்வதன் மூலம்.