Korrektiewe opdaterings aan die stabiele takke van die BIND DNS-bediener 9.11.18 en 9.16.2, sowel as die eksperimentele tak 9.17.1, wat in ontwikkeling is. In nuwe vrystellings sekuriteitsprobleem wat verband hou met ondoeltreffende verdediging teen aanvalle "Β» wanneer jy in die modus van 'n DNS-bediener werk wat versoeke aanstuur (die "aanstuurders"-blok in die instellings). Daarbenewens is werk gedoen om die grootte van digitale handtekeningstatistieke wat in die geheue gestoor is vir DNSSEC te verminder β die aantal nagespoorde sleutels is verminder tot 4 vir elke sone, wat voldoende is in 99% van die gevalle.
Die βDNS-herbindingβ-tegniek maak dit moontlik om, wanneer 'n gebruiker 'n sekere bladsy in 'n blaaier oopmaak, 'n WebSocket-verbinding tot stand te bring met 'n netwerkdiens op die interne netwerk wat nie direk via die internet toeganklik is nie. Om die beskerming wat in blaaiers gebruik word om buite die bestek van die huidige domein te gaan (kruisoorsprong), te omseil, verander die gasheernaam in DNS. Die aanvaller se DNS-bediener is opgestel om twee IP-adresse een vir een te stuur: die eerste versoek stuur die regte IP van die bediener saam met die bladsy, en daaropvolgende versoeke gee die interne adres van die toestel terug (byvoorbeeld 192.168.10.1).
Die tyd om te lewe (TTL) vir die eerste reaksie is op 'n minimum waarde gestel, so wanneer die bladsy oopgemaak word, bepaal die blaaier die werklike IP van die aanvaller se bediener en laai die inhoud van die bladsy. Die bladsy loop JavaScript-kode wat wag vir die TTL om te verval en stuur 'n tweede versoek, wat nou die gasheer identifiseer as 192.168.10.1. Dit laat JavaScript toe om toegang tot 'n diens binne die plaaslike netwerk te kry, wat die kruisoorsprongbeperking omseil. teen sulke aanvalle in BIND is gebaseer op die blokkering van eksterne bedieners om IP-adresse van die huidige interne netwerk of CNAME-aliasse vir plaaslike domeine terug te keer deur gebruik te maak van die weier-antwoord-adresse en weier-antwoord-aliasse instellings.
Bron: opennet.ru