CVE-2020-8625: BIND GSSAPI arabellek taşması saldırısı

 GSS-TSIG, bir ağdaki taraflar arasındaki iletişimin gerçekliğini doğrulamak için güvenli anahtar değişimini desteklemeyi amaçlayan TSIG protokolünün bir uzantısıdır. SPNEGO, GSS-TSIG için uygulama protokol arayüzü olan GSSAPI tarafından kullanılan bir görüşme mekanizmasıdır. Daha önceden BIND tarafından kullanılan SPNEGO uygulamasında bulunan ve arabellek taşması saldırısına yol açan kritik bir zafiyet bulunmuştu. Bu saldırı için yeni yayınlanan yamalar ve çözüm önerileri aşağıda belirtilmiştir.

Etkilenen Sistemler

-BIND 9.5.0 -> 9.11.27

-BIND 9.12.0 -> 9.16.11

-BIND 9.11.3-S1 -> 9.11.27-S1

-BIND 9.16.8-S1 -> 9.16.11-S1

-BIND 9.17.0 -> 9.17.1

Yamalar

-BIND 9.11.28

-BIND 9.16.12

-BIND 9.11.28-S1

-BIND 9.16.12-S1

Çözüm Önerisi

Bu güvenlik açığı, yalnızca GSS-TSIG kullanmak üzere yapılandırılmış sunucuları etkiler ve GSS-TSIG özelliklerinin etkinleştirilmemesiyle güvenlik açığı önlenebilir.

Mevcut BIND sürümünüzü en yakın olan yamalı sürüme yükseltmeniz gerekmektedir.

BIND'i ISC SPNEGO uygulaması olmadan yapılandırmayı ve oluşturmayı seçmek, herhangi bir platformda savunmasız bir BIND oluşturmaz, ancak sistemde GSSAPI desteğinin eksik olduğu platformlarda, bazı özelliklerin kullanılamamasına neden olabilir. (GSS-TSIG imzalı DDNS güncellemelerinin kullanılamaması gibi)

Bazı platformlarda, ./configure komut dosyasını BIND kaynak dizininde derlemeden önce  --disable-isc-spnego komut satırı argümanı ile çalıştırılırsa CVE-2020-8625'e karşı savunmasız olmayan bir BIND kurulumu oluşturmak mümkün olabilir.

Referanslar

https://kb.isc.org/docs/cve-2020-8625

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8625

https://www.jpcert.or.jp/english/at/2021/at210010.html