在 DNS 服务器实现 BIND 中发现数个漏洞。

CVE-2021-25214

Greg Kuechle 发现，畸形传入 IXFR 传输可在 named 中触发断言失败，从而导致拒绝服务。

CVE-2021-25215

Siva Kakarla 发现，当在 DNAME 追踪期间放入 ANSWER 部分的 DNAME 记录是对客户端查询的最终回答时，named 可能会崩溃。

CVE-2021-25216

据发现，BIND 使用的 SPNEGO 实现容易受到缓冲区溢出漏洞的影响。此更新切换为使用 Kerberos 库的 SPNEGO 实现。

对于 Debian 9 Stretch，已在版本 1:9.10.3.dfsg.P4-12.3+deb9u9 中修复这些问题。

我们建议您升级 bind9 程序包。

有关 bind9 的详细安全状态，请参阅其安全跟踪页面： https://security-tracker.debian.org/tracker/bind9

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

远程主机上安装的 ISC BIND 的版本低于测试版本。因此，该应用程序受到 CVE-2021-25216 公告中提及的漏洞的影响。

  - 在 BIND 9.5.0 -> 9.11.29、9.12.0 -> 9.16.13、BIND 受支持的预览版 9.11.3-S1 -> 9.11.29-S1 和 9.16.8-S1 -> 9.16.13-S1 版本，以及 BIND 9.17 开发分支的 9.17.0 -> 9.17.1 版中，BIND 服务器如果运行受影响的版本并配置为使用 GSS-TSIG 功能，则容易受到攻击。在使用 BIND 默认设置的配置中，不会暴露容易受到攻击的代码路径，但是可以通过显式设置 tkey-gssapi-keytab 或 tkey-gssapi-credential 选项的值，使服务器容易受到攻击。尽管默认配置不易受到攻击，但 GSS-TSIG 经常用于 BIND 与 Samba 集成的网络中，以及将 BIND 服务器与 Active Directory 域控制器相结合的混合服务器环境中。对于符合这些条件的服务器，ISC SPNEGO 实现容易受到各种攻击，具体取决于构建 BIND 的 CPU 架构：对于为 64 位平台编译的 named 二进制文件，攻击者可利用此缺陷触发缓冲区过度读取，从而导致服务器崩溃。对于为 32 位平台编译的 named 二进制文件，攻击者可利用此缺陷触发缓冲区过度读取，从而导致服务器崩溃，也可能用来发动远程代码执行攻击。我们已确定，MIT 和 Heimdal Kerberos 库中提供了标准的 SPNEGO 实现，支持各种操作系统，从而使 ISC 实现变得不必要且过时。因此，为了减少 BIND 用户的受攻击面，我们将删除 BIND 9.11 和 9.16 4 月版本中的 ISC SPNEGO 实现（BIND 9.17 中已删除）。我们通常不会删除 BIND 稳定 ESV（扩展支持版本）中的内容，但由于系统库可替换 ISC SPNEGO 实现，因此出于稳定性和安全性考虑，我们在此情况下做了例外选择。(CVE-2021-25216)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

为 Slackware 14.0、14.1、14.2 和
当前版本提供了用于修复安全问题的新 bind 程序包。

在 DNS 服务器实现 BIND 中发现数个漏洞。

  - CVE-2021-25214 Greg Kuechle 发现，畸形传入 IXFR 传输可在 named 中触发断言失败，从而导致拒绝服务。

  - CVE-2021-25215 Siva Kakarla 发现，当在 DNAME 追踪期间放入 ANSWER 部分的 DNAME 记录是对客户端查询的最终回答时，named 可能会崩溃。

  - CVE-2021-25216 据发现，BIND 使用的 SPNEGO 实现容易受到缓冲区溢出漏洞的影响。此更新切换为使用 Kerberos 库的 SPNEGO 实现。

远程 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 20.10 / 21.04 主机上安装的程序包受到 USN-4929-1 公告中提及的多个漏洞的影响。

  - 在 BIND 9.8.5 -> 9.8.8、9.9.3 -> 9.11.29、9.12.0 -> 9.16.13 、BIND 受支持的预览版 BIND 9.9.3-S1 -> 9.11.29-S1 和 9.16.8-S1 -> 9.16.13-S1 ，以及 BIND 9.17 开发分支的 9.17.0 -> 9.17.11 版本中，当易受攻击的 named 版本收到会触发上述缺陷的格式错误的 IXFR 时，named 进程将在下一次刷新传输的辅助区域时因断言失败而终止。(CVE-2021-25214)

  - 在 BIND 9.0.0 -> 9.11.29、9.12.0 -> 9.16.13、BIND 受支持的预览版 BIND 9.9.3-S1-> 9.11.29-S1 和 9.16.8-S1-> 9.16.13-S1 ，以及 BIND 9.17 开发分支的 9.17.0 -> 9.17.11 版本，当易受攻击的 named 版本收到会触发上述缺陷的记录查询时，named 进程将因断言检查失败而终止。该漏洞影响当前维护的所有 BIND 9 个分支（9.11、9.11-S、9.16、9.16-S、9.17）以及 BIND 9 的所有其他版本。(CVE-2021-25215)

  - 在 BIND 9.5.0 -> 9.11.29、9.12.0 -> 9.16.13、BIND 受支持的预览版 9.11.3-S1 -> 9.11.29-S1 和 9.16.8-S1 -> 9.16.13-S1 版本，以及 BIND 9.17 开发分支的 9.17.0 -> 9.17.1 版中，BIND 服务器如果运行受影响的版本并配置为使用 GSS-TSIG 功能，则容易受到攻击。在使用 BIND 默认设置的配置中，不会暴露容易受到攻击的代码路径，但是可以通过显式设置 tkey-gssapi-keytab 或 tkey-gssapi-credential 选项的值，使服务器容易受到攻击。尽管默认配置不易受到攻击，但 GSS-TSIG 经常用于 BIND 与 Samba 集成的网络中，以及将 BIND 服务器与 Active Directory 域控制器相结合的混合服务器环境中。对于符合这些条件的服务器，ISC SPNEGO 实现容易受到各种攻击，具体取决于构建 BIND 的 CPU 架构：对于为 64 位平台编译的 named 二进制文件，攻击者可利用此缺陷触发缓冲区过度读取，从而导致服务器崩溃。对于为 32 位平台编译的 named 二进制文件，攻击者可利用此缺陷触发缓冲区过度读取，从而导致服务器崩溃，也可能用来发动远程代码执行攻击。我们已确定，MIT 和 Heimdal Kerberos 库中提供了标准的 SPNEGO 实现，支持各种操作系统，从而使 ISC 实现变得不必要且过时。因此，为了减少 BIND 用户的受攻击面，我们将删除 BIND 9.11 和 9.16 4 月版本中的 ISC SPNEGO 实现（BIND 9.17 中已删除）。我们通常不会删除 BIND 稳定 ESV（扩展支持版本）中的内容，但由于系统库可替换 ISC SPNEGO 实现，因此出于稳定性和安全性考虑，我们在此情况下做了例外选择。(CVE-2021-25216)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

根据其自我报告的版本，远程主机上的 ISC Bind 受到缓冲区溢出漏洞的影响：

- GSS-TSIG 是 TSIG 协议的扩展，旨在支持安全的密钥交换，用于验证网络上各方之间的通信真实性。SPNEGO 是 GSS-TSIG 的应用程序协议接口 GSSAPI 使用的协商机制。
BIND 服务器如果运行受影响的版本且配置为使用 GSS-TSIG，则容易受到攻击。在使用 BIND 默认设置的配置中，不会暴露容易受攻击的代码路径，但是可以通过显式设置 tkey-gssapi-keytab 或 tkey-gssapi-credential 配置选项的值，使服务器变得易受攻击。尽管默认配置不易受到攻击，但 GSS-TSIG 经常用于 BIND 与 Samba 集成的网络中，以及将 BIND 服务器与 Active Directory 域控制器相结合的混合服务器环境中。对于符合这些条件的服务器，ISC SPNEGO 实现容易受到各种攻击，具体取决于构建 BIND 的 CPU 架构。

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
149262	Debian DLA-2647-1：bind9 安全更新	Nessus	Debian Local Security Checks	2021/5/5	2021/5/14	critical
149315	ISC BIND 9.5.0 < 9.11.31 / 9.11.3-S1 < 9.11.31-S1 / 9.12.0 < 9.16.15 / 9.16.8-S1 < 9.16.15-S1 / 9.17.0 <-> 9.17.1 缓冲区溢出 (CVE-2021-25216)	Nessus	DNS	2021/5/6	2021/5/13	critical
149067	Slackware 14.0 / 14.1 / 14.2 / 当前版本：bind (SSA:2021-118-01)	Nessus	Slackware Local Security Checks	2021/4/29	2021/11/9	critical
149229	Debian DSA-4909-1：bind9 - 安全更新	Nessus	Debian Local Security Checks	2021/5/3	2021/5/14	critical
149092	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS：Bind 漏洞 (USN-4929-1)	Nessus	Ubuntu Local Security Checks	2021/4/30	2023/10/16	critical
149210	ISC BIND GSS-TSIG SPNEGO 缓冲区溢出 (CVE-2021-25216)	Nessus	DNS	2021/4/30	2021/11/9	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical