Множественные уязвимости в ISC BIND (CVE-2021-25216, CVE-2021-25215, CVE-2021-25214)

27 мая 2021 17:30

 

1. Описание уязвимости:

CVE-2021-25216
Уязвимость существует из-за граничной ошибки в расширении GSS-TSIG. Удаленный злоумышленник может отправлять на сервер специально созданные запросы, запускать переполнение буфера и выполнять произвольный код в системе.
Для успешного использования уязвимости необходимо, чтобы named был настроен для использования реализации SPNEGO путем установки значений для параметров конфигурации tkey-gssapi-keytabили tkey-gssapi-credential(часто используемых с Samba, а также в средах со смешанными серверами, которые объединяют серверы BIND с контроллерами домена Active Directory).
CVE-2021-25215
Уязвимость существует из-за достижимого утверждения при обработке записей DNAME. Удаленный злоумышленник может заставить named добавить один и тот же набор RRset в раздел ANSWER более одного раза, вызвать сбой утверждения и сбой службы. Эта проблема затрагивает как авторитетные, так и рекурсивные серверы во время передачи зон.
CVE-2021-25214
Уязвимость существует из-за достижимого утверждения при нажатии запросов IXFR. Поток IXFR, содержащий записи SOA с именем владельца, отличным от вершины переданной зоны, может вызвать named непреднамеренное удаление принимающим сервером записи SOA для рассматриваемой зоны из базы данных зоны. Это приводит к ошибке утверждения при выполнении следующего запроса на обновление SOA для этой зоны. Когда уязвимая версия named получает искажённый IXFR, запускающий описанную выше ошибку, named процесс завершится из-за неудачного утверждения при следующем обновлении переданной вторичной зоны.
Идентификатор Банка данных угроз безопасности информации ФСТЭК России:

2. Возможные меры по устранению уязвимости

Отказать от использования Bind
или
— установить обновления безопасности для пакета:
bind
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
Запросить обновленный пакет с зависимостями в Управлении информационных технологий ФССП России.
Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Время создания/изменения документа: 27 мая 2021 17:31 / 07 июня 2021 09:52

Версия для печати