Vài ngày trướcs phát hành các phiên bản DNS BIND sửa chữa mới đã được phát hành của các nhánh ổn định 9.11.31 và 9.16.15 và cũng đang trong quá trình phát triển các nhánh thử nghiệm 9.17.12, đây là máy chủ DNS được sử dụng phổ biến nhất trên Internet và đặc biệt được sử dụng trên các hệ thống Unix, trong đó nó là một tiêu chuẩn và được tài trợ bởi Hiệp hội Hệ thống Internet.
Trong việc xuất bản các phiên bản mới, người ta đề cập rằng mục đích chính là sửa ba lỗ hổng bảo mật, một trong số đó (CVE-2021-25216) gây ra lỗi tràn bộ đệm.
Nó được đề cập rằng trên các hệ thống 32-bit, lỗ hổng bảo mật có thể bị khai thác để thực thi mã từ xa được thiết kế bởi kẻ tấn công bằng cách gửi một yêu cầu GSS-TSIG được chế tạo đặc biệt, trong khi đối với các hệ thống 64 bit, vấn đề chỉ giới hạn ở việc chặn quá trình được đặt tên.
Vấn đề chỉ hiển thị khi cơ chế GSS-TSIG được bật, được kích hoạt bởi cài đặt tkey-gssapi-keytab và tkey-gssapi-uỷ nhiệm. GSS-TSIG bị tắt theo mặc định và thường được sử dụng trong các môi trường hỗn hợp nơi BIND được kết hợp với bộ điều khiển miền Active Directory hoặc khi nó được tích hợp với Samba.
Lỗ hổng bảo mật là do lỗi trong quá trình thực hiện Cơ chế thương lượng GSSAPI Đơn giản và Bảo mật (SPNEGO), mà GSSAPI sử dụng để thương lượng các phương pháp bảo vệ được sử dụng bởi máy khách và máy chủ. GSSAPI được sử dụng như một giao thức cấp cao để trao đổi khóa an toàn bằng cách sử dụng phần mở rộng GSS-TSIG, được sử dụng để xác thực các bản cập nhật động trong các vùng DNS.
Máy chủ BIND dễ bị tấn công nếu chúng đang chạy phiên bản bị ảnh hưởng và được cấu hình để sử dụng các chức năng GSS-TSIG. Trong cấu hình sử dụng cấu hình BIND mặc định, đường dẫn của mã dễ bị tấn công sẽ không bị lộ, nhưng máy chủ có thể dễ bị tấn công bằng cách đặt giá trị rõ ràng cho các tùy chọn cấu hình tkey-gssapi-keytabo tkey-gssapi-credential.
Mặc dù cài đặt mặc định không dễ bị tấn công, GSS-TSIG thường được sử dụng trong các mạng mà BIND được tích hợp với Samba, cũng như trong các môi trường máy chủ hỗn hợp kết hợp máy chủ BIND với bộ điều khiển miền Active Directory. Đối với các máy chủ đáp ứng các điều kiện này, việc triển khai ISC SPNEGO dễ bị tấn công bởi các cuộc tấn công khác nhau, tùy thuộc vào kiến trúc CPU mà BIND được xây dựng:
Vì các lỗ hổng nghiêm trọng trong quá trình triển khai SPNEGO nội bộ được tìm thấy và trước đó, việc triển khai giao thức này bị xóa khỏi cơ sở mã BIND 9. Đối với người dùng cần hỗ trợ SPNEGO, nên sử dụng ứng dụng bên ngoài do thư viện cung cấp từ hệ thống GSSAPI (có sẵn từ MIT Kerberos và Heimdal Kerberos).
Đối với hai lỗ hổng còn lại đã được giải quyết với việc phát hành phiên bản sửa chữa mới này, những điều sau được đề cập:
- CVE-2021-25215: Quá trình được đặt tên bị treo khi xử lý bản ghi DNAME (một số miền phụ xử lý chuyển hướng), dẫn đến việc bổ sung các bản sao vào phần ANSWER. Để khai thác lỗ hổng trong các máy chủ DNS có thẩm quyền, cần có các thay đổi đối với các vùng DNS đã xử lý và đối với các máy chủ đệ quy, bản ghi có vấn đề có thể được lấy sau khi liên hệ với máy chủ có thẩm quyền.
- CVE-2021-25214: Đã đặt tên chặn quy trình khi xử lý một yêu cầu IXFR đến được định dạng đặc biệt (được sử dụng để chuyển gia tăng các thay đổi trong vùng DNS giữa các máy chủ DNS). Chỉ các hệ thống đã cho phép chuyển vùng DNS từ máy chủ của kẻ tấn công bị ảnh hưởng bởi sự cố (chuyển vùng thường được sử dụng để đồng bộ hóa máy chủ chính và máy chủ phụ và chỉ được phép chọn lọc đối với các máy chủ đáng tin cậy). Để giải quyết vấn đề, bạn có thể tắt hỗ trợ IXFR với cài đặt "request-ixfr no".
Người dùng các phiên bản trước của BIND, như một giải pháp để chặn sự cố, có thể tắt GSS-TSIG trong thiết lập hoặc xây dựng lại BIND mà không có sự hỗ trợ của SPNEGO.
Cuối cùng nếu bạn muốn biết thêm về nó về việc phát hành các phiên bản sửa lỗi mới này hoặc về các lỗ hổng đã được khắc phục, bạn có thể kiểm tra chi tiết bằng cách truy cập liên kết sau.