Birkaç gün önceYeni düzeltici DNS BIND sürümlerinin yayınlanması Stabil şubelerin 9.11.31 ve 9.16.15 ve ayrıca deneysel dalların 9.17.12 geliştirilmesinde olan bu, İnternette en yaygın kullanılan ve özellikle standart olduğu Unix sistemlerinde kullanılan DNS sunucusudur ve İnternet Sistemleri Konsorsiyumu tarafından desteklenmektedir.
Yeni sürümlerin yayınlanmasında ana niyetin üç güvenlik açığını düzeltmek olduğu belirtiliyor, bunlardan biri (CVE-2021-25216) arabellek taşmasına neden olur.
32 bit sistemlerde, güvenlik açığından uzaktan kod yürütmek için yararlanılabilir saldırgan tarafından özel olarak hazırlanmış bir GSS-TSIG isteği gönderilerek tasarlanan, 64 bit sistemlerde sorun, adlandırılmış işlemi engellemekle sınırlıdır.
sorun kendini yalnızca GSS-TSIG mekanizması etkinleştirildiğinde gösterir, tkey-gssapi-keytab ve tkey-gssapi-kimlik bilgileri ayarları tarafından etkinleştirilir. GSS-TSIG varsayılan olarak devre dışıdır ve genellikle BIND'in Active Directory etki alanı denetleyicileri ile birleştirildiği veya Samba ile entegre edildiği karma ortamlarda kullanılır.
Güvenlik açığı, GSSAPI Müzakere Mekanizmasının uygulanmasındaki bir hatadan kaynaklanmaktadır GSSAPI'nin istemci ve sunucu tarafından kullanılan koruma yöntemlerini görüşmek için kullandığı Basit ve Güvenli (SPNEGO). GSSAPI, DNS bölgelerindeki dinamik güncellemelerin kimliğini doğrulamak için kullanılan GSS-TSIG uzantısını kullanarak güvenli anahtar değişimi için üst düzey bir protokol olarak kullanılır.
BIND sunucuları, etkilenen bir sürümü çalıştırıyorlarsa ve GSS-TSIG işlevlerini kullanacak şekilde yapılandırılmışlarsa savunmasızdır. Varsayılan BIND yapılandırmasını kullanan bir yapılandırmada, savunmasız kodun yolu açığa çıkmaz, ancak tkey-gssapi-keytabo yapılandırma seçenekleri tkey-gssapi-kimlik bilgisi için değerler açıkça ayarlanarak bir sunucu savunmasız hale getirilebilir.
Varsayılan yapılandırma savunmasız olmasa da, GSS-TSIG, BIND'ın Samba ile entegre olduğu ağlarda ve BIND sunucularını Active Directory etki alanı denetleyicileriyle birleştiren karma sunucu ortamlarında sıklıkla kullanılır. Bu koşulları karşılayan sunucular için ISC SPNEGO uygulaması, BIND'ın inşa edildiği CPU mimarisine bağlı olarak çeşitli saldırılara karşı savunmasızdır:
Dahili SPNEGO uygulamasındaki kritik güvenlik açıkları ve daha önce bulunduğundan, bu protokolün uygulanması BIND 9 kod tabanından kaldırılmıştır. SPNEGO'yu desteklemesi gereken kullanıcılar için, GSSAPI'den kütüphane tarafından sağlanan harici bir uygulamanın kullanılması önerilir. sistemi (MIT Kerberos ve Heimdal Kerberos'tan temin edilebilir).
Diğer iki güvenlik açığına gelince Bu yeni düzeltici sürümün yayınlanmasıyla çözülen sorunlar, aşağıdakilerden bahsedilmektedir:
- CVE-2021-25215: Adlandırılmış işlem DNAME kayıtlarını işlerken takılıyor (bazı alt etki alanları yeniden yönlendirme işliyor) ve bu da yinelemelerin ANSWER bölümüne eklenmesine neden oluyor. Yetkili DNS sunucularındaki güvenlik açığından yararlanmak için, işlenmiş DNS bölgelerinde değişiklik yapılması gerekir ve özyinelemeli sunucular için, yetkili sunucuya başvurulduktan sonra sorunlu bir kayıt elde edilebilir.
- CVE-2021-25214: Özel olarak oluşturulmuş bir gelen IXFR isteği işlenirken adlandırılmış işlem engelleme (DNS sunucuları arasında DNS bölgelerindeki değişikliklerin artımlı aktarımı için kullanılır). Yalnızca saldırganın sunucusundan DNS bölge aktarımlarına izin veren sistemler bu sorundan etkilenir (bölge aktarımları genellikle ana ve yardımcı sunucuları senkronize etmek için kullanılır ve yalnızca güvenilir sunucular için seçici olarak izin verilir). Geçici bir çözüm olarak, "istek-ixfr yok" ayarıyla IXFR desteğini devre dışı bırakabilirsiniz.
BIND'ın önceki sürümlerinin kullanıcıları, sorunu engellemek için bir çözüm olarak GSS-TSIG'yi devre dışı bırakabilir. SPNEGO desteği olmadan BIND kurulumunda veya yeniden yapılandırmasında
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan bu yeni düzeltici sürümlerin yayınlanması veya düzeltilen güvenlik açıkları hakkında ayrıntıları kontrol edebilirsiniz. aşağıdaki bağlantıya giderek.