ProHoster > Blog > ειδήσεις στο διαδίκτυο > Ενημέρωση διακομιστή BIND DNS 9.11.18, 9.16.2 και 9.17.1

Ενημέρωση διακομιστή BIND DNS 9.11.18, 9.16.2 και 9.17.1

Δημοσίευσε Διορθωτικές ενημερώσεις στους σταθερούς κλάδους του διακομιστή BIND DNS 9.11.18 και 9.16.2, καθώς και στον πειραματικό κλάδο 9.17.1, ο οποίος βρίσκεται υπό ανάπτυξη. Σε νέες εκδόσεις εξαλειφθεί πρόβλημα ασφαλείας που σχετίζεται με την αναποτελεσματική άμυνα κατά των επιθέσεων "Επανασύνδεση DNS» όταν εργάζεστε σε λειτουργία προώθησης αιτημάτων διακομιστή DNS (το μπλοκ "forwarders" στις ρυθμίσεις). Επιπλέον, έχει γίνει δουλειά για τη μείωση του μεγέθους των στατιστικών ψηφιακών υπογραφών που είναι αποθηκευμένες στη μνήμη για το DNSSEC - ο αριθμός των κλειδιών παρακολούθησης έχει μειωθεί σε 4 για κάθε ζώνη, που είναι επαρκής στο 99% των περιπτώσεων.

Η τεχνική "DNS rebinding" επιτρέπει, όταν ένας χρήστης ανοίγει μια συγκεκριμένη σελίδα σε ένα πρόγραμμα περιήγησης, να δημιουργήσει μια σύνδεση WebSocket σε μια υπηρεσία δικτύου στο εσωτερικό δίκτυο που δεν είναι προσβάσιμη απευθείας μέσω του Διαδικτύου. Για να παρακάμψετε την προστασία που χρησιμοποιείται στα προγράμματα περιήγησης κατά της υπέρβασης του πεδίου εφαρμογής του τρέχοντος τομέα (διασταυρούμενη προέλευση), αλλάξτε το όνομα κεντρικού υπολογιστή στο DNS. Ο διακομιστής DNS του εισβολέα έχει ρυθμιστεί να στέλνει δύο διευθύνσεις IP μία προς μία: το πρώτο αίτημα στέλνει την πραγματική IP του διακομιστή με τη σελίδα και τα επόμενα αιτήματα επιστρέφουν την εσωτερική διεύθυνση της συσκευής (για παράδειγμα, 192.168.10.1).

Ο χρόνος ζωής (TTL) για την πρώτη απόκριση ορίζεται σε μια ελάχιστη τιμή, επομένως κατά το άνοιγμα της σελίδας, το πρόγραμμα περιήγησης καθορίζει την πραγματική IP του διακομιστή του εισβολέα και φορτώνει τα περιεχόμενα της σελίδας. Η σελίδα εκτελεί κώδικα JavaScript που περιμένει να λήξει το TTL και στέλνει ένα δεύτερο αίτημα, το οποίο πλέον προσδιορίζει τον κεντρικό υπολογιστή ως 192.168.10.1. Αυτό επιτρέπει στην JavaScript να έχει πρόσβαση σε μια υπηρεσία εντός του τοπικού δικτύου, παρακάμπτοντας τον περιορισμό πολλαπλής προέλευσης. Προστασία ενάντια σε τέτοιες επιθέσεις στο BIND βασίζεται στον αποκλεισμό εξωτερικών διακομιστών από την επιστροφή διευθύνσεων IP του τρέχοντος εσωτερικού δικτύου ή ψευδωνύμων CNAME για τοπικούς τομείς χρησιμοποιώντας τις ρυθμίσεις άρνησης-απάντησης-διευθύνσεων και άρνησης-απάντησης-ψευδώνυμου.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο