تحديثات تصحيحية للفروع الثابتة لخادم BIND DNS 9.11.18 و 9.16.2 ، بالإضافة إلى الفرع التجريبي 9.17.1 قيد التطوير. في الإصدارات الجديدة مشكلة أمنية تتعلق بعدم فعالية الحماية من الهجمات ""عند العمل في وضع إعادة توجيه طلبات خادم DNS (كتلة" معيدي التوجيه "في الإعدادات). بالإضافة إلى ذلك ، تم العمل لتقليل حجم إحصائيات التوقيع الرقمي في الذاكرة لـ DNSSEC - تم تقليل عدد المفاتيح المراقبة إلى 4 لكل منطقة ، وهو ما يكفي في 99٪ من الحالات.
تسمح تقنية "إعادة ربط DNS" ، عندما يفتح المستخدم صفحة معينة في مستعرض ، بإنشاء اتصال WebSocket بخدمة شبكة على الشبكة الداخلية غير المتاحة للوصول المباشر عبر الإنترنت. لتجاوز حماية المتصفح ضد ترك نطاق المجال الحالي (عبر الأصل) ، يتم استخدام تغيير في اسم المضيف في DNS. تم تكوين خادم DNS للمهاجم لإرجاع عنواني IP واحدًا تلو الآخر: يتم إرجاع IP الحقيقي للخادم مع الصفحة إلى الطلب الأول ، ويتم إرجاع العنوان الداخلي للجهاز إلى الطلبات اللاحقة (على سبيل المثال ، 192.168.10.1) ).
يتم تعيين وقت البقاء (TTL) للاستجابة الأولى على الحد الأدنى للقيمة ، لذلك عند فتح الصفحة ، يحدد المتصفح عنوان IP الحقيقي للخادم المهاجم ويحمل محتوى الصفحة. تعمل الصفحة على تشغيل JavaScript تنتظر انتهاء مدة TTL وترسل طلبًا ثانيًا يحدد الآن المضيف على أنه 192.168.10.1. يسمح ذلك لجافا سكريبت بالوصول إلى الخدمة داخل الشبكة المحلية ، متجاوزًا قيود المصدر المشترك. من مثل هذه الهجمات في BIND على أساس حظر الخوادم الخارجية من إعادة عناوين IP للشبكة الداخلية الحالية أو أسماء CNAME المستعارة للنطاقات المحلية باستخدام إعدادات رفض-الإجابة-وعناوين رفض-الإجابة-الأسماء المستعارة.
المصدر: opennet.ru