Awọn imudojuiwọn DIN DNS Tuntun Adirẹsi Ipalara Koodu Latọna jijẹ

Orisirisi awọn ọjọ seyins itusilẹ ti awọn titun titunṣe DNS awọn ẹya ti a ti tu ti awọn ẹka idurosinsin 9.11.31 ati 9.16.15 ati pe o tun wa ni idagbasoke awọn ẹka iwadii 9.17.12, eyi ni olupin DNS ti o wọpọ julọ ti a lo lori Intanẹẹti ati paapaa ti a lo lori awọn eto Unix, ninu eyiti o jẹ idiwọn ati ti ṣe atilẹyin nipasẹ Consortium Awọn ọna Intanẹẹti.

Ninu atẹjade awọn ẹya tuntun, a mẹnuba pe ero akọkọ ni lati ṣatunṣe awọn ailagbara mẹta, ọkan ninu eyiti (CVE-2021-25216) n fa fifa saarin.

O darukọ pe lori awọn eto 32-bit, ipalara naa le jẹ yanturu lati ṣiṣẹ koodu latọna jijin iyẹn jẹ apẹrẹ nipasẹ olutọpa nipa fifiranṣẹ ibeere GSS-TSIG ti a ṣe ni akanṣe, lakoko fun awọn eto 64-bit, iṣoro naa ni opin si didi ilana ti a darukọ.

Iṣoro naa farahan ararẹ nikan nigbati ilana GSS-TSIG ba ṣiṣẹ, eyiti o muu ṣiṣẹ nipasẹ awọn eto tkey-gssapi-keytab ati awọn eto ijẹrisi tkey-gssapi. GSS-TSIG jẹ alaabo nipasẹ aiyipada ati pe a lo ni gbogbogbo ni awọn agbegbe adalu nibiti O ṣe idapo BIND pẹlu Awọn olutọsọna ašẹ Active Directory tabi nigbati o ba ṣepọ pẹlu Samba.

Ipalara naa jẹ nitori aṣiṣe ni imuse ti Ilana Gọọsi GSSAPI Rọrun ati Aabo (SPNEGO), eyiti GSSAPI nlo lati ṣunadura awọn ọna aabo ti alabara ati olupin lo. A lo GSSAPI gẹgẹbi ilana-ipele giga fun paṣipaarọ bọtini aabo ni aabo lilo itẹsiwaju GSS-TSIG, eyiti o lo lati jẹrisi awọn imudojuiwọn agbara ni awọn agbegbe DNS.

Awọn olupin BIND jẹ ipalara ti wọn ba ṣiṣẹ ẹya ti o kan ati ti tunto lati lo awọn iṣẹ GSS-TSIG. Ninu iṣeto ti o lo iṣeto BIND aiyipada, ọna ti koodu ailagbara naa ko han, ṣugbọn o le jẹ ki olupin kan jẹ ipalara nipasẹ ṣiṣeto awọn iye fun awọn aṣayan iṣeto tiki-gssapi-keytabo t-t-gssapi-ẹri.

Botilẹjẹpe awọn eto aiyipada ko ni ipalara, GSS-TSIG ni lilo nigbagbogbo ni awọn nẹtiwọọki nibiti a ti sopọ BIND pẹlu Samba, bakanna ni awọn agbegbe olupin ti o dapọ ti o ṣopọ awọn olupin BIND pẹlu Awọn olutọsọna ašẹ Iroyin Iroyin. Fun awọn olupin ti o baamu awọn ipo wọnyi, imuse ISC SPNEGO jẹ ipalara si ọpọlọpọ awọn ikọlu, da lori iṣapẹẹrẹ Sipiyu eyiti a ti FI OWỌ fun:

Niwọn igba ti awọn ipalara pataki ninu imuse SPNEGO ti abẹnu ti a rii ati ni iṣaaju, imuse ti ilana yii ni a yọ kuro lati ipilẹ koodu BIND 9. Fun awọn olumulo ti o nilo lati ṣe atilẹyin SPNEGO, o ni iṣeduro lati lo ohun elo ita ti a pese nipasẹ ikawe lati GSSAPI eto (wa lati MIT Kerberos ati Heimdal Kerberos).

Bi fun awọn ipalara meji miiran ti a yanju pẹlu itusilẹ ti ẹya atunse tuntun yii, awọn atẹle ni a mẹnuba:

  • CVE-2021-25215: Gbogbo online iṣẹ. Ilana ti a darukọ ti a daruko nigbati o ba n ṣe igbasilẹ awọn igbasilẹ DNAME (diẹ ninu awọn itọsọna ṣiṣakoso awọn subdomains), ti o yori si afikun awọn ẹda-ẹda si apakan ANSWER. Lati lo ailagbara naa ni awọn olupin DNS aṣẹ, awọn ayipada ni a nilo si awọn agbegbe DNS ti a ṣakoso, ati fun awọn olupin ifasita, a le gba igbasilẹ iṣoro lẹhin ti o kan si olupin aṣẹ.
  • CVE-2021-25214: Gbogbo online iṣẹ. Ìdènà ilana ti a darukọ nigbati o n ṣe ibere ibeere IXFR ti nwọle ti a ṣe pataki (ti a lo fun gbigbe afikun ti awọn ayipada ni awọn agbegbe DNS laarin awọn olupin DNS). Awọn eto nikan ti o gba awọn gbigbe agbegbe agbegbe DNS laaye lati ọdọ olupin apanilaya ni iṣoro nipasẹ iṣoro (awọn gbigbe agbegbe ni igbagbogbo lo lati muuṣiṣẹpọ oluwa ati awọn olupin ẹrú ati pe a yan ni yiyan nikan fun awọn olupin igbẹkẹle). Gẹgẹbi iṣẹ ṣiṣe, o le mu atilẹyin IXFR kuro pẹlu eto “ìbéèrè-ixfr no”.

Awọn olumulo ti awọn ẹya ti tẹlẹ TI, bi ojutu lati dènà iṣoro naa, le mu GSS-TSIG kuro ni ipilẹ tabi tun IBỌ laisi atilẹyin SPNEGO.

Níkẹyìn ti o ba nifẹ lati mọ diẹ sii nipa rẹ nipa ifasilẹ awọn ẹya atunse tuntun wọnyi tabi nipa awọn ailagbara ti o wa titi, o le ṣayẹwo awọn alaye naa nipa lilọ si ọna asopọ atẹle.


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade.

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.