Der CVE-2021-25220 beschreibt eine Schwachstelle in ISC BIND. Unter Verwendung unseres Tools „apar“ werden nachfolgend einige Fragestellungen untersucht und beantwortet, wie z.B. ist mein System von dieser Schwachstelle betroffen, wo finde ich eine genauere Beschreibung der Schwachstelle, wo finde ich einen Fix zur Schließung der Schwachstelle, gibt es andere Schwachstellen von denen mein System betroffen ist?
Hinweis: Das Tool „apar“ ist in unserem Download-Bereich in Versionen für AIX (VIOS), Linux und MacOS verfügbar. Es enthält eine zeitlich begrenzte Test-Lizenz. In dem Beitrag Verwalten und Zugriff auf APARs finden sich weitere Informationen zur Verwendung des Tools.
Ist mein System von dieser Schwachstelle betroffen?
Mit Hilfe des Kommandos „apar show“ und dem Argument „CVE-2021-25220“ können Informationen zu der Schwachstelle angezeigt werden:
$ apar show CVE-2021-25220 type: sec product: aix versions: 7300-00-01,7300-00-02 abstract: AIX is vulnerable to cache poisoning due to ISC BIND apars: CVE-2021-25220,IJ40614 fixedIn: 7300-00-03 ifixes: IJ40614m2b.220718.epkg.Z bulletinUrl: https://aix.software.ibm.com/aix/efixes/security/bind_advisory21.asc filesets: bos.net.tcp.bind:7.3.0.0-7.3.0.1,bos.net.tcp.bind_utils:7.3.0.0-7.3.0.1 issued: 20220728 updated: siblings: download: https://aix.software.ibm.com/aix/efixes/security/bind_fix21.tar cvss: CVE-2021-25220:6.8 reboot: no … $
Es werden mehrere Datensätze angezeigt. Für verschiedene AIX– bzw. VIOS Versionen gibt es jeweils eigene Datensätze. Jeder Datensatz enthält eine Zeile mit den zugehörigen AIX bzw. VIOS Versionen (Zeile „versions: …“). Außerdem sind die jeweils betroffenen Filesets inklusive Version aufgelistet (Zeile „filesets: …“). Ist auf meinem System z.B. AIX 7300-00-01 oder 7300-00-02 installiert (Kommando „oslevel –s“) und habe ich eine der aufgelisteteten Fileset Versionen (Kommando „lslpp –l bos.net.tcp.bind bos.net.tcp.bind_utils“), dann ist mein System von der Schwachstelle betroffen.
Wo finde ich eine genauere Beschreibung der Schwachstelle?
Genauere Informationen zu einer Schwachstelle bietet IBM typischerweise über ein sogenanntes Bulletin an. Der URL für das Bulletin wird in der Ausgabe von „apar show“ (oben) in der Zeile beginnend mit „bulletinUrl: …“ ausgegeben. Im Falle oben ist das https://aix.software.ibm.com/aix/efixes/security/bind_advisory21.asc . Dieser URL kann in einem Browser angegeben werden. Bei Verwendung des „apar“ Kommandos kann man das Bulletin aber auch direkt auf der Kommandozeile anzeigen, das geht mit dem Kommando „apar bulletin“ und der Nummer des CVE (hier CVE-2021-25220) oder der Fix- oder APAR-Nummer (z.B. IJ40614):
$ apar bulletin CVE-2021-25220 IBM SECURITY ADVISORY First Issued: Thu Jul 28 13:24:22 CDT 2022 The most recent version of this document is available here: http://aix.software.ibm.com/aix/efixes/security/bind_advisory21.asc https://aix.software.ibm.com/aix/efixes/security/bind_advisory21.asc ftp://aix.software.ibm.com/aix/efixes/security/bind_advisory21.asc Security Bulletin: AIX is vulnerable to cache poisoning due to ISC BIND (CVE-2021-25220) =============================================================================== SUMMARY: A vulnerability in ISC BIND could allow a remote attacker to poison the cache (CVE-2021-25220). AIX uses ISC BIND as part of its DNS functions. =============================================================================== VULNERABILITY DETAILS: CVEID: CVE-2021-25220 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25220 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25220 DESCRIPTION: ISC BIND could allow a remote attacker to bypass security restrictions, caused by an error when using DNS forwarders. An attacker could exploit this vulnerability to poison the cache with incorrect records leading to queries being made to the wrong servers, which might also result in false information being returned to clients. CVSS Base Score: 6.8 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/221991 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N) … $
Im Bulletin sind in der Regel alle zugehörigen APARs aufgelistet. Außerdem findet man eine Zuordnung welcher Fix für welche Version zu verwenden ist.
Wo finde ich einen Fix zur Schließung der Schwachstelle?
In den oben ausgegebenen Datensätzen findet man auch eine Auflistung der zugehörigen Fixes in der Zeile beginnend mit „ifixes: …“. Im genannten Fall ist das der Fix IJ40614m2b.220718.epkg.Z. In vielen Fällen werden mehrere Fixes aufgelistet und man muss den richtigen Fix aus der Liste heraussuchen. Hilfreich ist dabei die Beschreibung im Bulletin, mit einer Aufstellung welcher Fix für welche Version zu verwenden ist.
Der URL für den Download des oder der Fixe(s) ist in der Zeile beginnend mit „download: …“ angegeben, in aktuellen Fall ist das der folgende URL:
https://aix.software.ibm.com/aix/efixes/security/bind_fix21.tar
Der Fix kann z.B. mit einem Browser heruntergeladen werden. Bei Verwendung des Kommandos „apar“ geht das aber einfacher über die Kommandozeile. Das Kommando kann mit dem Argument „download“ und der CVE-Nummer oder Fix-Nummer aufgerufen werden und lädt dann den Fix herunter und speichert diesen im aktuellen Arbeitsverzeichnis ab:
$ apar download CVE-2021-25220 downloading bind_fix21.tar ... % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 19.1M 100 19.1M 0 0 1480k 0 0:00:13 0:00:13 --:--:-- 1672k $
Der Fix wird unter dem im URL verwendeten Namen, hier bind_fix21.tar, abgespeichert.
Gibt es weitere Schwachstellen von denen mein System betroffen ist?
Um ein System auf bekannte Schwachstellen zu untersuchen, kann „apar check“ verwendet werden. Damit das Kommando auf die Informationen zu den installierten Fixes zugreifen kann, muss das Kommando mit root-Rechten gestartet werden.
Hier ein Beispiel eines Systems auf dem alle relevanten Fixes installiert sind:
aix01 # apar check SUMMARY: 2/2 fixes installed aix01 #
Und nachfolgend ein Beispiel eines Systems auf dem nur einige relevante Fixes installiert sind:
aix02 # apar check SUMMARY: 4/8 fixes installed (2 APARs have no fix specified) aix02 #
Von den 8 bekannten (von IBM bekannt gegebenen) Schwachstellen sind nur für 4 der Schwachstellen die zugehörigen Fixes installiert. Möchte man wissen welche Schwachstellen offen sind, kann eine der Optionen „-b“ (brief report) oder „-l“ (long report) verwendet werden:
aix02 # apar check -b 20220817 sec aix CVE-2022-1292,CVE-2022-2068,CVE-2022-2097 AIX is vulnerable to arbitrary command execution due to OpenSSL INSTALLED: no fix installed 20220912 sec aix CVE-2022-36768 AIX is vulnerable to a privilege escalation vulnerability due to invscout INSTALLED: no fix installed 20220923 sec aix CVE-2021-20266,CVE-2021-20271,CVE-2021-3421 AIX is vulnerable to arbitrary code execution and RPM database corruption and denial of service due to RPM. INSTALLED: no fix installed 20220928 sec aix CVE-2018-25032 AIX is vulnerable to denial of service due to zlib and zlibNX INSTALLED: no fix installed SUMMARY: 4/8 fixes installed (2 APARs have no fix specified) aix02 #
Das Kommando „apar“ unterstützt noch eine ganze Reihe weiterer Möglichkeiten, die im Beitrag Verwalten und Zugriff auf APARs beschrieben sind.