Коригиращи актуализации на стабилните клонове на BIND DNS сървъра 9.11.18 и 9.16.2, както и експерименталния клон 9.17.1, който е в процес на разработка. В новите издания проблем със сигурността, свързан с неефективна защита срещу атаки "» при работа в режим на DNS сървър за пренасочване на заявки (блокът „препращачи“ в настройките). Освен това е направена работа за намаляване на размера на статистиката на цифровия подпис, съхранявана в паметта за DNSSEC - броят на проследяваните ключове е намален до 4 за всяка зона, което е достатъчно в 99% от случаите.
Техниката „DNS rebinding“ позволява, когато потребител отвори определена страница в браузър, да установи WebSocket връзка към мрежова услуга във вътрешната мрежа, която не е достъпна директно през Интернет. За да заобиколите защитата, използвана в браузърите срещу излизане извън обхвата на текущия домейн (кръстосан произход), променете името на хоста в DNS. DNS сървърът на атакуващия е конфигуриран да изпраща два IP адреса един по един: първата заявка изпраща истинския IP на сървъра със страницата, а следващите заявки връщат вътрешния адрес на устройството (например 192.168.10.1).
Времето за живот (TTL) за първия отговор е зададено на минимална стойност, така че при отваряне на страницата браузърът определя реалния IP на сървъра на атакуващия и зарежда съдържанието на страницата. Страницата изпълнява JavaScript код, който чака TTL да изтече и изпраща втора заявка, която вече идентифицира хоста като 192.168.10.1. Това позволява на JavaScript да има достъп до услуга в рамките на локалната мрежа, заобикаляйки ограничението за кръстосан произход. срещу такива атаки в BIND се основава на блокиране на външни сървъри да връщат IP адреси на текущата вътрешна мрежа или CNAME псевдоними за локални домейни, използвайки настройките за отказване на отговор и псевдоними на адреси.
Източник: opennet.ru