ProHoster > Blog > Internetnachrichten > BIND DNS-Server-Update 9.11.18, 9.16.2 und 9.17.1

BIND DNS-Server-Update 9.11.18, 9.16.2 und 9.17.1

Veröffentlicht Korrekturaktualisierungen der stabilen Zweige des BIND-DNS-Servers 9.11.18 und 9.16.2 sowie des experimentellen Zweigs 9.17.1, der sich in der Entwicklung befindet. In Neuerscheinungen eliminiert Sicherheitsproblem im Zusammenhang mit einer ineffektiven Abwehr von Angriffen“DNS-Rebinding» beim Arbeiten im Modus der Weiterleitung von Anfragen durch einen DNS-Server (Block „Weiterleitungen“ in den Einstellungen). Darüber hinaus wurde daran gearbeitet, die Größe der im Speicher für DNSSEC gespeicherten digitalen Signaturstatistiken zu reduzieren – die Anzahl der verfolgten Schlüssel wurde für jede Zone auf 4 reduziert, was in 99 % der Fälle ausreichend ist.

Die „DNS-Rebinding“-Technik ermöglicht es, wenn ein Benutzer eine bestimmte Seite in einem Browser öffnet, eine WebSocket-Verbindung zu einem Netzwerkdienst im internen Netzwerk herzustellen, der nicht direkt über das Internet erreichbar ist. Um den in Browsern verwendeten Schutz gegen das Überschreiten des Bereichs der aktuellen Domäne (Cross-Origin) zu umgehen, ändern Sie den Hostnamen im DNS. Der DNS-Server des Angreifers ist so konfiguriert, dass er nacheinander zwei IP-Adressen sendet: Die erste Anfrage sendet die echte IP des Servers mit der Seite, und nachfolgende Anfragen geben die interne Adresse des Geräts zurück (z. B. 192.168.10.1).

Die Time to Live (TTL) für die erste Antwort ist auf einen Mindestwert eingestellt, sodass der Browser beim Öffnen der Seite die tatsächliche IP des Servers des Angreifers ermittelt und den Inhalt der Seite lädt. Die Seite führt JavaScript-Code aus, der auf den Ablauf der TTL wartet und eine zweite Anfrage sendet, die den Host nun als 192.168.10.1 identifiziert. Dadurch kann JavaScript auf einen Dienst innerhalb des lokalen Netzwerks zugreifen und die Cross-Origin-Beschränkung umgehen. Schutz Die Abwehr solcher Angriffe in BIND basiert darauf, dass externe Server mithilfe der Einstellungen „deny-answer-addresses“ und „deny-answer-aliases“ daran gehindert werden, IP-Adressen des aktuellen internen Netzwerks oder CNAME-Aliase für lokale Domänen zurückzugeben.

Source: opennet.ru

Kommentar hinzufügen