Opravné aktualizace stabilních větví serveru DNS BIND 9.11.18 a 9.16.2 a také experimentální větve 9.17.1, která je ve vývoji. V nových vydáních bezpečnostní problém spojený s neefektivní obranou proti útokům "» při práci v režimu přesměrování požadavků serveru DNS (v nastavení blok „přeposílání“). Kromě toho se pracovalo na zmenšení velikosti statistik digitálních podpisů uložených v paměti pro DNSSEC – počet sledovaných klíčů byl snížen na 4 pro každou zónu, což v 99 % případů stačí.
Technika „DNS rebinding“ umožňuje, když uživatel otevře určitou stránku v prohlížeči, vytvořit připojení WebSocket k síťové službě v interní síti, která není přístupná přímo přes internet. Chcete-li obejít ochranu používanou v prohlížečích proti překročení rozsahu aktuální domény (cross-origin), změňte název hostitele v DNS. DNS server útočníka je nakonfigurován tak, aby zasílal dvě IP adresy jednu po druhé: první požadavek odešle skutečnou IP adresu serveru se stránkou a další požadavky vrátí interní adresu zařízení (například 192.168.10.1).
Doba trvání (TTL) pro první odpověď je nastavena na minimální hodnotu, takže při otevření stránky prohlížeč určí skutečnou IP serveru útočníka a načte obsah stránky. Stránka spustí kód JavaScript, který čeká na vypršení platnosti TTL a odešle druhý požadavek, který nyní identifikuje hostitele jako 192.168.10.1. To umožňuje JavaScriptu přistupovat ke službě v rámci místní sítě a obejít omezení mezi původy. proti takovým útokům je v BIND založen na blokování externích serverů v vracení IP adres aktuální interní sítě nebo CNAME aliasů pro lokální domény pomocí nastavení deny-answer-addresses a deny-answer-aliases.
Zdroj: opennet.ru