Korrigerende opdateringer til de stabile grene af BIND DNS-serveren 9.11.18 og 9.16.2, samt den eksperimentelle gren 9.17.1, som er under udvikling. I nye udgivelser sikkerhedsproblem forbundet med ineffektivt forsvar mod angreb "» når du arbejder i tilstanden af en DNS-servers videresendelsesanmodninger (“videresendingsblokken” i indstillingerne). Derudover er der arbejdet på at reducere størrelsen af digital signaturstatistik gemt i hukommelsen til DNSSEC - antallet af sporede nøgler er reduceret til 4 for hver zone, hvilket er tilstrækkeligt i 99% af tilfældene.
"DNS rebinding"-teknikken gør det muligt, når en bruger åbner en bestemt side i en browser, at etablere en WebSocket-forbindelse til en netværkstjeneste på det interne netværk, som ikke er direkte tilgængelig via internettet. For at omgå den beskyttelse, der bruges i browsere, mod at gå ud over det aktuelle domænes omfang (kryds-oprindelse), skal du ændre værtsnavnet i DNS. Angriberens DNS-server er konfigureret til at sende to IP-adresser én efter én: den første anmodning sender den rigtige IP på serveren med siden, og efterfølgende anmodninger returnerer enhedens interne adresse (f.eks. 192.168.10.1).
Time to live (TTL) for det første svar er sat til en minimumsværdi, så når du åbner siden, bestemmer browseren den rigtige IP på angriberens server og indlæser indholdet af siden. Siden kører JavaScript-kode, der venter på, at TTL'en udløber, og sender en anden anmodning, som nu identificerer værten som 192.168.10.1. Dette gør det muligt for JavaScript at få adgang til en tjeneste inden for det lokale netværk og omgå begrænsningen på tværs af oprindelse. mod sådanne angreb i BIND er baseret på at blokere eksterne servere fra at returnere IP-adresser på det aktuelle interne netværk eller CNAME-aliaser for lokale domæner ved at bruge indstillingerne afvis-svar-adresser og afvis-svar-aliaser.
Kilde: opennet.ru