Обновления безопасности
Назад к п.2
2.1503 Множественные уязвимости в ISC BIND (CVE-2021-25216, CVE-2021-25215, CVE-2021-25214)
1. Описание уязвимости:
CVE-2021-25216 Уязвимость существует из-за граничной ошибки в расширении GSS-TSIG. Удаленный злоумышленник может отправлять на сервер специально созданные запросы, запускать переполнение буфера и выполнять произвольный код в системе. Для успешного использования уязвимости необходимо, чтобы named был настроен для использования реализации SPNEGO путем установки значений для параметров конфигурации tkey-gssapi-keytabили tkey-gssapi-credential(часто используемых с Samba, а также в средах со смешанными серверами, которые объединяют серверы BIND с контроллерами домена Active Directory). CVE-2021-25215 Уязвимость существует из-за достижимого утверждения при обработке записей DNAME. Удаленный злоумышленник может заставить named добавить один и тот же набор RRset в раздел ANSWER более одного раза, вызвать сбой утверждения и сбой службы. Эта проблема затрагивает как авторитетные, так и рекурсивные серверы во время передачи зон. CVE-2021-25214 Уязвимость существует из-за достижимого утверждения при нажатии запросов IXFR. Поток IXFR, содержащий записи SOA с именем владельца, отличным от вершины переданной зоны, может вызвать named непреднамеренное удаление принимающим сервером записи SOA для рассматриваемой зоны из базы данных зоны. Это приводит к ошибке утверждения при выполнении следующего запроса на обновление SOA для этой зоны. Когда уязвимая версия named получает искажённый IXFR, запускающий описанную выше ошибку, named процесс завершится из-за неудачного утверждения при следующем обновлении переданной вторичной зоны.Идентификатор Банка данных угроз безопасности информации ФСТЭК России: BDU:2021-02773, BDU:2021-02778, BDU:2021-027772. Возможные меры по устранению уязвимости
Отказать от использования Bind или - установить обновления безопасности для пакета: bindУстановка обновлений возможна следующими способами:а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:# yum updateПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
- скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/bind-9.11.4-9.P2.el7.x86_64.rpm
Проверить целостность и подлинность пакета по инструкцииУстановить скачанный пакет(ы) командой:# yum localinstall *.rpmПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Дата последнего изменения: 08.09.2021
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.