Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.
Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.
Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Так как критические уязвимости во встроенной реализации SPNEGO находили и ранее, реализация данного протокола удалена из кодовой базы BIND 9. Для пользователей, которым необходима поддержка SPNEGO, рекомендовано использовать внешнюю реализацию, предоставляемую системной библиотекой
GSSAPI (предоставляется в MIT Kerberos и Heimdal Kerberos).
Пользователи старых версий BIND в качестве обходного пути блокирования проблемы, могут отключить GSS-TSIG в настройках (параметры tkey-gssapi-keytab и tkey-gssapi-credential) или пересборать BIND без поддержки механизма SPNEGO (опция "--disable-isc-spnego" в скрипте "configure"). Проследить за появлением обновлений в дистрибутивах можно на страницах: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Пакеты RHEL и ALT Linux собираются без встроенной поддержки SPNEGO.
Дополнительно в рассматриваемых обновлениях BIND устранено ещё две уязвимости:
- CVE-2021-25215 - крах процесса named при обработке записей DNAME (редирект обработки части поддоменов), приводящих к добавлению в секцию ANSWER дубликатов. Для эксплуатации уязвимости на авторитетных DNS-серверах требуется внесение изменений в обрабатываемые DNS-зоны, а для рекурсивных серверов проблемная запись может быть получена после обращения к авторитетному серверу.
- CVE-2021-25214 - крах процесса named при обработке специально оформленного входящего запроса IXFR (используется для инкрементальной передачи между DNS-серверами изменений в зонах DNS).
Проблеме подвержены только системы, разрешившие передачу зон DNS с сервера атакующего (обычно передача зон используется для синхронизации master- и slave-серверов и выборочно разрешается только для заслуживающих доверие серверов). В качестве обходного пути защиты можно отключить поддержку IXFR при помощи настройки "request-ixfr no;".
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/b...)
- OpenNews: Уязвимости во FreeBSD, IPnet и Nucleus NET, связанные с ошибками при реализации сжатия в DNS
- OpenNews: Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
- OpenNews: Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
- OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
- OpenNews: Атака SAD DNS для подстановки фиктивных данных в кэш DNS
Похожие новости:
- [Информационная безопасность, Сетевые технологии, DNS] Разведка с geo2ip и reverse-whois
- [Firefox, Google Chrome, Расширения для браузеров, Браузеры] Почему uBlock Origin лучше работает в Firefox
- [Тестирование веб-сервисов, Kotlin, Gradle, Распределённые системы, Микросервисы] Использование Spring Cloud Stream Binding с брокером сообщений Kafka
- Уязвимости во FreeBSD, IPnet и Nucleus NET, связанные с ошибками при реализации сжатия в DNS
- [Децентрализованные сети, Сетевые технологии, DNS, Mesh-сети] Meshname – DNS судного дня
- [Информационная безопасность, Тестирование IT-систем, DNS, Тестирование веб-сервисов] Путаница зависимостей. Как я взломал Apple, Microsoft и десятки других компаний (перевод)
- [Информационная безопасность, Google Chrome, Браузеры, Разработка под Linux] DNS-over-HTTPS заработает в Google Chrome для Linux
- [Open source, Разработка мобильных приложений, Разработка под Android, GitHub, Kotlin] Легкий DataBinding для Android
- [Ненормальное программирование, Поисковые технологии, Python, Игры и игровые приставки] Однажды Microsoft забанила всю мою страну за читерство (перевод)
- [Управление e-commerce, Компьютерное железо, Видеокарты] Сооснователь DNS лично извинился перед покупателями видеокарт за провал на старте продаж RTX 3060
Теги для поиска: #_bind, #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:43
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named. Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba. Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон. Так как критические уязвимости во встроенной реализации SPNEGO находили и ранее, реализация данного протокола удалена из кодовой базы BIND 9. Для пользователей, которым необходима поддержка SPNEGO, рекомендовано использовать внешнюю реализацию, предоставляемую системной библиотекой GSSAPI (предоставляется в MIT Kerberos и Heimdal Kerberos). Пользователи старых версий BIND в качестве обходного пути блокирования проблемы, могут отключить GSS-TSIG в настройках (параметры tkey-gssapi-keytab и tkey-gssapi-credential) или пересборать BIND без поддержки механизма SPNEGO (опция "--disable-isc-spnego" в скрипте "configure"). Проследить за появлением обновлений в дистрибутивах можно на страницах: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Пакеты RHEL и ALT Linux собираются без встроенной поддержки SPNEGO. Дополнительно в рассматриваемых обновлениях BIND устранено ещё две уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:43
Часовой пояс: UTC + 5