Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода

18.02.2021 08:22

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено.

Проблема вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.

Уязвимость затрагивает системы, в настройках которых включено использование GSS-TSIG (например, если используются настройки tkey-gssapi-keytab и tkey-gssapi-credential). GSS-TSIG обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba. В конфигурации по умолчанию GSS-TSIG отключён.

В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта "configure" опции "--disable-isc-spnego". В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. ALT Linux проблеме не подвержен, так как пакет "bind" собран с опцией --disable-isc-spnego".

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54611-bind

Ключевые слова: bind, dns

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (62)

1.1, Онаним (?), 10:32, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
- системы, в настройках которых включено использование GSS-TSIG - BIND сочетается с контроллерами домена Active Directory Мимо, мимо...

2.2, пох. (?), 10:35, 18/02/2021 Скрыто ботом-модератором [к модератору]	–14 +/–

3.3, Онаним (?), 10:44, 18/02/2021 Скрыто ботом-модератором [к модератору]	+3 +/–

3.4, Онаним (?), 10:44, 18/02/2021 Скрыто ботом-модератором [к модератору]	+3 +/–

4.6, A.Stahl (ok), 10:46, 18/02/2021 Скрыто ботом-модератором [к модератору]	–1 +/–

5.10, нежданчик (?), 11:03, 18/02/2021 Скрыто ботом-модератором [к модератору]	+1 +/–

3.9, Аноним (9), 10:54, 18/02/2021 Скрыто ботом-модератором [к модератору]	+1 +/–

4.11, пох. (?), 11:03, 18/02/2021 Скрыто ботом-модератором [к модератору]	–5 +/–

5.14, ананим.orig (?), 11:42, 18/02/2021 Скрыто ботом-модератором [к модератору]	+6 +/–

6.16, Страдивариус (?), 11:44, 18/02/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

7.20, пох. (?), 12:11, 18/02/2021 Скрыто ботом-модератором [к модератору]	–4 +/–

8.37, Имя (?), 18:15, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

9.38, Имя (?), 18:16, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

9.42, пох. (?), 18:27, 18/02/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

8.47, RM (ok), 19:58, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

5.21, ford1813 (ok), 12:12, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

6.24, пох. (?), 12:33, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

5.43, Онаним (?), 19:09, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

3.17, Аноним (17), 11:46, 18/02/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

4.22, пох. (?), 12:22, 18/02/2021 Скрыто ботом-модератором [к модератору]	–1 +/–

5.27, Дворник (??), 13:30, 18/02/2021 Скрыто ботом-модератором [к модератору]	+/–

5.44, Онаним (?), 19:11, 18/02/2021 Скрыто ботом-модератором [к модератору]	+1 +/–

2.13, InuYasha (??), 11:07, 18/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> при интеграции с Samba. а это уже очень частый случай.

3.29, Онаним (?), 14:04, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
ССЗБ - частый случай, да. Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и прочее - куда надёжнее юзать таки божественные 10 и 2019.

4.39, пох. (?), 18:17, 18/02/2021 [^] [^^] [^^^] [ответить]

+2 +/–

> ССЗБ - частый случай, да.
> Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и
> прочее - куда надёжнее юзать таки божественные 10 и 2019.

вот nfs-то зашибись невендопротокол. А ничего другого у вас - за тридцать лет не родилось. Одни костыли,подпорки и вот, лучший из них - краденая идея сасамбы.

5.53, СеменСеменыч777 (?), 05:18, 19/02/2021 [^] [^^] [^^^] [ответить]

–1 +/–

> А ничего другого у вас - за тридцать лет не родилось

незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).

6.55, пох. (?), 15:12, 19/02/2021 [^] [^^] [^^^] [ответить]

–1 +/–

>> А ничего другого у вас - за тридцать лет не родилось
> незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).

Да там в рот берут все подряд, если это от IBM. Ненужная поделка от CMU, пятое или какое там по счету воплощение.

1.5, Аноним (-), 10:46, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы

2.7, Онаним (?), 10:48, 18/02/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Лет через 100-100500.

2.8, Аноним (-), 10:53, 18/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Прежде чем переписывать что то на раст, надо сам раст проверить. А вдруг он вкомпилирует ошибку, тогда много чего придется перекомпилировать. А назад уже дороги не будет, к ламповому С, в котором сам свои ошибки проверять можешь/должен.

3.12, InuYasha (??), 11:06, 18/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> сам свои ошибки проверять можешь/должен. Да о чём ты говоришь - каждый второй анон свой русский без чекера проверить не может.

4.15, Страдивариус (?), 11:43, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
Чекер, анон - да тут знатоки русского в чатике! Любите Родину, мать вашу!

5.30, Онаним (?), 14:06, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
Чатик от знатока русского в месте для обмена болтовнёй - тоже так себе.

5.58, СеменСеменыч777 (?), 23:31, 20/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Чекер, анон -

а также свитчи, роутеры и фаерволлы.

> да тут знатоки русского в чатике!

А ТО !

> Любите Родину, мать вашу!

когда родина начнет производить свои коммутаторы, машрутизаторы и брандмауэры - тогда можно будет об этом подумать.

6.59, Michael Shigorin (ok), 23:45, 20/02/2021 [^] [^^] [^^^] [ответить]

+/–

>> Любите Родину, мать вашу!
> когда родина начнет производить свои коммутаторы, машрутизаторы
> и брандмауэры - тогда можно будет об этом подумать.

Русьтелетех и другие; ИВК Кольчуга.

Давайте размышлять и радоваться разом,
поскольку эта жизнь -- короткая, зараза...

7.60, СеменСеменыч777 (?), 15:30, 21/02/2021 [^] [^^] [^^^] [ответить]	+/–
> Русьтелетех и другие; ИВК Кольчуга. я посмотрел. по первому впечатлению - распильщики подфуражечные. на открытом рынке разумеется неконкурентоспособны. на этом все.

8.61, Michael Shigorin (ok), 17:28, 21/02/2021 [^] [^^] [^^^] [ответить]	+/–
К слову об отрытом рынке http t me rufuturism 19937 http itc ua blogs mar... текст свёрнут, показать

9.62, СеменСеменыч777 (?), 15:56, 22/02/2021 [^] [^^] [^^^] [ответить]	+/–
вскрыватели покровов разоблачили главную тайну силиконовой долины ой все а в э... текст свёрнут, показать

10.63, Fractal cucumber (??), 21:36, 07/03/2021 [^] [^^] [^^^] [ответить]	+/–
Че за силиконовая долина такая Кремниевую знаю, а вот силиконовую звучит как... текст свёрнут, показать

4.26, Michael Shigorin (ok), 13:06, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
Нуу "что-то" и лишняя запятая после "будет" (хотя там и авторское тире вполне годится) -- можно было и подсказать. :-)

3.19, Аноним (17), 11:49, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
Для начала пусть себе чтоли хоть кодогенератор с оптимизации на расте напишут. А то дергают 60-метровую сиплюсплюсную либу чтобы из растишки код сгенерить - и лечат как плюсы плохи. ХЫ.

4.57, Аноним (57), 20:26, 19/02/2021 [^] [^^] [^^^] [ответить]	+/–
>риторика "Вы сами" Я тебе больше скажу, они намеренно не хотят с Libc уходить чтобы не писать свою такую же.

2.18, Аноним (17), 11:48, 18/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы Они уже переписывали бинд10 на питон. Получилось такое энтерпрайз монстрило, что, кажется, желающих им пользоваться вообще не вылупилось. Могу себе представить что они с хрустом зарелизят.

3.23, пох. (?), 12:24, 18/02/2021 [^] [^^] [^^^] [ответить]	+5 +/–
Вы не понимаете - парадигма переписания на хрусте вообще не предполагает что что-то зарелизят. В этом, безусловно, и кроется секрет успеха, ведь код, который еще нигде не используется, совершенно безопастен.

2.32, Ordu (ok), 16:39, 18/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Когда же все перепишут на раст

Неформальное движение RiiR получило финансирование от Google: https://security.googleblog.com/2021/02/mitigating-memory-safety-issues-in-ope

Так что уже скоро. Надо только подождать.

2.40, пох. (?), 18:23, 18/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы

Вы опять вот неправильно понимаете парадигму раст.

Правильно было бы спросить - где уже _переписывают_. Вот, например, здесь: https://github.com/ctz/rustls
уже достигли невиданных успехов в хайпе, привлечении внимания и статьях в прессу.

А, да. Шифрования там не ищите, им там пресловутый ring занимается. Со всеми вытекающими.
Но asn1 парсер - зуб дают, безопастен! Когда-нибудь будет.

3.51, Аноним (51), 01:34, 19/02/2021 [^] [^^] [^^^] [ответить]

+/–

Да, только хотел сказать, что уже давно пишут, а тут опередил меня.

В целом-то использовать или нет старый софт компании сами выбирают.

Те которые имеют на своем борту инженеров не только конфигурационных,
но и умеющих разрабатывать софт уже делают быстрее, лучше, надежнее
и т.д.

А вы почему спрашиваете у Вас в компании тоже есть потребность?

4.56, пох. (?), 15:15, 19/02/2021 [^] [^^] [^^^] [ответить]

+/–

> А вы почему спрашиваете у Вас в компании тоже есть потребность?

В хайпе, привлечении внимания и статьях в прессу - нет. Мы не IT компания, наши акции от этого не вырастут. Да и не public они ни разу.

А работающий dns сервер у нас и так есть. Не, не bind ни разу.

1.25, Michael Shigorin (ok), 13:05, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Предложил правку новости, поскольку:

---
--disable-isc-spnego \
--- http://packages.altlinux.org/ru/p9/specfiles/bind

Не все дистрибутивы одинаково полезны (ц)

PS: хотя на днях даже от астры такая могучая польза на публику вылезла, что ни в сказке сказать, ни пером описать; и я даже сошлюсь на LOR, знакомые с которого её раскопали: http://www.linux.org.ru/news/opensource/16158350

1.28, Какаянахренразница (ok), 13:38, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> уязвимость, не исключающая > ... > уязвимость, потенциально способная привести Это как?

2.31, Онаним (?), 14:08, 18/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Это untested. Вроде наверное как бы может быть и можно, но механика не вполне очевидна, и поэтому пруфа оф концепта пока не существует. Может да, а может и нет.

2.33, Ordu (ok), 16:41, 18/02/2021 [^] [^^] [^^^] [ответить]	+3 +/–
> Это как? Это исключение из закона исключённого третьего. Доказать, что уязвимость может быть эксплуатирована для выполнения произвольного кода не удалось. И опровергнуть тоже не удалось. Может просто потому, что никто особо не заморачивался. Да и какая нахрен разница?

3.36, Какаянахренразница (ok), 17:39, 18/02/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже. Как сказал академик Кадыров, "а ты докажи, что не аллах".

4.48, Ordu (ok), 20:16, 18/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже.

Хыхы, да. Это одна из причин, почему я ратую за отмену закона исключённого третьего: если всё оказывается исключением, то это не исключение, а правило. Скорее надо первые два исключить, потому что они совершенно нереалистичны и встречаются лишь в качестве исключения.

Но здесь всё ж ситуация несколько иная. Наличие бага доказано. Не понятен диаметр получившейся дыры.

1.35, Хартман (?), 17:19, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет дыр

2.41, пох. (?), 18:26, 18/02/2021 [^] [^^] [^^^] [ответить]

+/–

> BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет
> дыр

чего это вдруг? Шиарная стая блох из под powerdns несколько лет назад была вытрясена.

Потом, наверное, и правда всем надоело.

3.50, Хартман (?), 00:18, 19/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
PowerDNS второй после бинда по популярности, так что неудиален что его переодически латают

1.45, Аноним (45), 19:23, 18/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А есть аналог bind? Если он с дырками, то должны быть альтернативы, я просто не в теме.

2.46, СеменСеменыч777 (?), 19:45, 18/02/2021 [^] [^^] [^^^] [ответить]	+/–
аналогов по фичсету нет. если хочется вот прямо "unbreakable", то есть https://en.wikipedia.org/wiki/Djbdns

2.49, Хартман (?), 00:16, 19/02/2021 [^] [^^] [^^^] [ответить]	+/–
BIND практически безальтернативен, так как самый популярный и фитчастый... к слову баги есть в любом DNS сервере, просто в бинде их находят и латают, а в других хер кладут

1.52, Аноним (52), 01:38, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Нужно ли это обновлять на десктопе или пох?

2.54, Брат Анон (ok), 10:13, 19/02/2021 [^] [^^] [^^^] [ответить]	+/–
Не знаю. В бубунте у меня прям с утра патч прилетел.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: