якія карэктуюць абнаўленні стабільных галінак DNS-сервера BIND 9.11.18 і 9.16.2, а таксама змешчанай у распрацоўцы эксперыментальнай галіны 9.17.1. У новых выпусках праблема бяспекі, звязаная з неэфектыўнасцю абароны ад нападаў» пры працы ў рэжыме які перанакіроўвае запыты DNS-сервера (блок «forwarders» у наладах). Акрамя таго, праведзена работа па скарачэнні памеру захоўваецца ў памяці статыстыкі лічбавых подпісаў для DNSSEC – колькасць адсочваных ключоў скарочана да 4 для кожнай зоны, чаго дастаткова ў 99% выпадкаў.
Тэхніка «DNS rebinding» дазваляе пры адкрыцці карыстачом вызначанай старонкі ў браўзэры ўсталяваць WebSocket-злучэнне да сеткавага сэрвісу ва ўнутранай сетцы, недаступным для прамога звароту праз інтэрнэт. Для абыходу ўжывальнай у браўзэрах абароны ад вынахаду за межы вобласці бягучага дамена (cross-origin) ужываецца змена імя хаста ў DNS. На DNS-серверы атакавалага наладжваецца па чарзе аддача двух IP-адрасоў: на першы запыт аддаецца рэальны IP сервера са старонкай, а на наступныя запыты вяртаецца ўнутраны адрас прылады (напрыклад, 192.168.10.1).
Час жыцця (TTL) для першага адказу выстаўляецца ў мінімальнае значэнне, таму пры адкрыцці старонкі браўзэр вызначае рэальны IP сервера атакавалага і загружае змесціва старонкі. На старонцы запускаецца JavaScript-код, які чакае заканчэння TTL і адпраўляе другі запыт, які зараз вызначае хост як 192.168.10.1. Гэта дазваляе з JavaScript звярнуцца да сэрвісу ўсярэдзіне лакальнай сеткі, абышоўшы абмежаванне cross-origin. ад падобных нападаў у BIND заснавана на блакаванні вяртання вонкавымі серверамі IP-адрасоў бягучай унутранай сеткі або CNAME-аліасаў для лакальных даменаў пры дапамозе налад deny-answer-addresses і deny-answer-aliases.
Крыніца: opennet.ru