幾天前s發行了新的更正DNS BIND版本 穩定分支機構9.11.31和9.16.15的一部分,以及實驗分支機構9.17.12的開發中,這是Internet上最常用的DNS服務器,尤其是在Unix系統上,它是標準的由Internet系統聯盟贊助。
在新版本的發布中,提到了主要目的是更正三個漏洞, 其中之一(CVE-2021-25216)會導致緩衝區溢出。
提到在32位系統上, 該漏洞可能被用來遠程執行代碼 它是由攻擊者通過發送特製的GSS-TSIG請求而設計的,而對於64位系統,問題僅限於阻止命名進程。
問題 僅在啟用GSS-TSIG機制後才會顯示 通過tkey-gssapi-keytab和tkey-gssapi-credential設置激活。 GSS-TSIG默認情況下處於禁用狀態,通常在BIND與Active Directory域控制器結合使用或與Samba集成的混合環境中使用。
該漏洞是由於GSSAPI協商機制的實施中的錯誤引起的 簡單安全(SPNEGO),GSSAPI使用它來協商客戶端和服務器使用的保護方法。 GSSAPI用作使用GSS-TSIG擴展進行安全密鑰交換的高級協議,該擴展用於對DNS區域中的動態更新進行身份驗證。
如果BIND服務器正在運行受影響的版本並配置為使用GSS-TSIG功能,則它們很容易受到攻擊。 在使用默認BIND配置的配置中,不公開易受攻擊的代碼的路徑,但是可以通過顯式設置tkey-gssapi-keytabo配置選項tkey-gssapi-credential的值來使服務器易受攻擊。
儘管默認設置不容易受到攻擊,但GSS-TSIG經常用於將BIND與Samba集成在一起的網絡中,以及在將BIND服務器與Active Directory域控制器結合在一起的混合服務器環境中。 對於滿足這些條件的服務器,ISC SPNEGO實現容易受到各種攻擊,具體取決於構建BIND的CPU體系結構:
由於內部SPNEGO實現中存在嚴重漏洞,因此該協議的實現已從BIND 9代碼庫中刪除。對於需要支持SPNEGO的用戶,建議使用GSSAPI庫提供的外部應用程序系統(可從MIT Kerberos和Heimdal Kerberos獲得)。
至於另外兩個漏洞 通過發布此新的更正版本解決了這些問題,其中提到了以下內容:
- CVE-2021-25215: 處理DNAME記錄(某些子域處理重定向)時,命名進程掛起,從而導致在ANSWER節中添加重複項。 若要利用權威DNS服務器中的漏洞,需要對已處理的DNS區域進行更改,對於遞歸服務器,在聯繫權威服務器後可以獲得有問題的記錄。
- CVE-2021-25214: 在處理特殊格式的傳入IXFR請求(用於在DNS服務器之間以增量方式傳輸DNS區域中的更改)時,命名進程阻止。 該問題僅影響已允許從攻擊者的服務器進行DNS區域傳輸的系統(區域傳輸通常用於同步主服務器和從屬服務器,並且僅對受信任的服務器有選擇地允許)。 解決方法是,可以使用“ request-ixfr no”設置禁用IXFR支持。
作為阻止該問題的解決方案,以前版本的BIND的用戶可以禁用GSS-TSIG 在沒有SPNEGO支持的情況下設置或重建BIND。
終於 如果您有興趣了解更多信息 有關這些新的更正版本的發布或有關已修復的漏洞的信息,您可以查看詳細信息 通過轉到以下鏈接。