Ilang araw na ang nakakalipasAng paglabas ng mga bagong pagwawasto ng mga bersyon ng DNS BIND ay pinakawalan ng matatag na mga sangay 9.11.31 at 9.16.15 at nasa pag-unlad din ng mga pang-eksperimentong sangay 9.17.12, ito ang pinakakaraniwang ginagamit na DNS server sa Internet at lalo na ginagamit sa mga system ng Unix, kung saan ito ay pamantayan at ay nai-sponsor ng Internet Systems Consortium.
Sa paglalathala ng mga bagong bersyon nabanggit na ang pangunahing hangarin ay upang itama ang tatlong mga kahinaan, isa sa mga ito (CVE-2021-25216) ay sanhi ng isang buffer overflow.
Nabanggit na sa 32-bit na mga system, ang kahinaan ay maaaring samantalahin upang malayuan magpatupad ng code na idinisenyo ng umaatake sa pamamagitan ng pagpapadala ng isang espesyal na ginawa na hiling sa GSS-TSIG, samantalang para sa mga sistemang 64-bit, ang problema ay limitado sa pagharang sa pinangalanang proseso.
Ang problema nagpapakita lamang kapag ang mekanismo ng GSS-TSIG ay pinagana, na pinapagana ng mga setting ng kredensyal na tkey-gssapi-keytab at tkey-gssapi-kredensyal. Ang GSS-TSIG ay hindi pinagana sa pamamagitan ng default at karaniwang ginagamit sa magkahalong mga kapaligiran kung saan ang BIND ay pinagsama sa mga Controller ng domain ng Active Directory o kapag isinama ito sa Samba.
Ang kahinaan ay sanhi ng isang error sa pagpapatupad ng GSSAPI Negotiationismism Simple at Secure (SPNEGO), na ginagamit ng GSSAPI upang makipag-ayos sa mga pamamaraan ng proteksyon na ginamit ng client at ng server. Ginagamit ang GSSAPI bilang isang mataas na antas ng protokol para sa ligtas na key exchange gamit ang GSS-TSIG extension, na ginagamit upang patunayan ang mga pabago-bagong pag-update sa mga DNS zone.
Ang mga server ng BIND ay mahina kung nagpapatakbo sila ng isang apektadong bersyon at na-configure upang magamit ang mga pagpapaandar ng GSS-TSIG. Sa isang pagsasaayos na gumagamit ng default na pagsasaayos ng BIND, ang landas ng mahina na code ay hindi nakalantad, ngunit ang isang server ay maaaring gawing mahina sa pamamagitan ng malinaw na pagtatakda ng mga halaga para sa mga pagpipilian sa pagsasaayos ng tkey-gssapi-keytabo na tkey-gssapi-kredensyal.
Bagaman ang default na pagsasaayos ay hindi mahina, ang GSS-TSIG ay madalas na ginagamit sa mga network kung saan ang BIND ay isinama sa Samba, pati na rin sa magkahalong mga kapaligiran ng server na nagsasama ng mga server ng BIND na may mga Controller ng domain ng Active Directory. Para sa mga server na nakakatugon sa mga kundisyong ito, ang pagpapatupad ng ISC SPNEGO ay mahina laban sa iba't ibang mga pag-atake, depende sa arkitektura ng CPU kung saan itinayo ang BIND:
Dahil natagpuan ang mga kritikal na kahinaan sa panloob na pagpapatupad ng SPNEGO at mas maaga, ang pagpapatupad ng protokol na ito ay tinanggal mula sa BIND 9. code base. Para sa mga gumagamit na kailangang suportahan ang SPNEGO, inirerekumenda na gumamit ng isang panlabas na aplikasyon na ibinigay ng library mula sa GSSAPI system (magagamit mula sa MIT Kerberos at Heimdal Kerberos).
Tulad ng para sa iba pang dalawang mga kahinaan na nalutas sa paglabas ng bagong bersyon ng pagwawasto, ang mga sumusunod ay nabanggit:
- CVE-2021-25215: Ang pinangalanang proseso ay nagha-hang kapag nagpoproseso ng mga tala ng DNAME (ilang subdomain na pagproseso ng pag-redirect), na humahantong sa pagdaragdag ng mga duplicate sa seksyon ng SAGOT. Upang mapagsamantalahan ang kahinaan sa mga may kapangyarihan na mga server ng DNS, kinakailangan ang mga pagbabago sa mga naprosesong DNS zone, at para sa mga recursive server, maaaring makuha ang isang may problemang tala pagkatapos makipag-ugnay sa may kapangyarihan na server.
- CVE-2021-25214: Pinangalanang pagharang sa proseso kapag pinoproseso ang isang espesyal na nabuo na papasok na kahilingan sa IXFR (ginamit para sa karagdagang pagdaragdag ng mga pagbabago sa mga DNS zone sa pagitan ng mga DNS server). Ang mga system lamang na pinapayagan ang paglipat ng DNS zone mula sa server ng umaatake ang maaapektuhan ng problema (ang mga paglilipat ng zone ay karaniwang ginagamit upang mai-synchronize ang mga master at alipin na server at pumipili lamang sa mga mapagkakatiwalaang server). Bilang isang pag-areglo, maaari mong hindi paganahin ang suporta ng IXFR sa setting na "request-ixfr no".
Ang mga gumagamit ng nakaraang mga bersyon ng BIND, bilang isang solusyon upang harangan ang problema, ay maaaring hindi paganahin ang GSS-TSIG sa pag-set up o muling pagtatayo ng BIND nang walang suporta ng SPNEGO.
Sa wakas kung interesado kang malaman ang tungkol dito tungkol sa paglabas ng mga bagong bersyon ng pagwawasto o tungkol sa mga kahinaan na naayos, maaari mong suriin ang mga detalye sa pamamagitan ng pagpunta sa sumusunod na link.