Korektaj ĝisdatigoj al la stabilaj branĉoj de la BIND DNS-servilo 9.11.18 kaj 9.16.2, same kiel la eksperimenta branĉo 9.17.1, kiu estas en disvolviĝo. En novaj eldonoj sekurecproblemo asociita kun neefika defendo kontraŭ atakoj "» kiam vi laboras en la reĝimo de DNS-servilo plusendado de petoj (la bloko "sendantoj" en la agordoj). Krome, laboro estis farita por redukti la grandecon de ciferecaj subskribaj statistikoj konservitaj en memoro por DNSSEC - la nombro da spuritaj ŝlosiloj estis reduktita al 4 por ĉiu zono, kio sufiĉas en 99% de kazoj.
La tekniko "DNS rebinding" permesas, kiam uzanto malfermas certan paĝon en retumilo, establi WebSocket-konekton al retservo en la interna reto, kiu ne estas alirebla rekte per la Interreto. Por preteriri la protekton uzatan en retumiloj kontraŭ preterpasi la amplekson de la nuna domajno (trans-deveno), ŝanĝu la gastigan nomon en DNS. La DNS-servilo de la atakanto estas agordita por sendi du IP-adresojn unu post la alia: la unua peto sendas la realan IP de la servilo kun la paĝo, kaj postaj petoj resendas la internan adreson de la aparato (ekzemple, 192.168.10.1).
La tempo por vivi (TTL) por la unua respondo estas agordita al minimuma valoro, do kiam malfermas la paĝon, la retumilo determinas la realan IP de la servilo de la atakanto kaj ŝarĝas la enhavon de la paĝo. La paĝo funkcias JavaScript-kodon, kiu atendas ke la TTL eksvalidiĝos kaj sendas duan peton, kiu nun identigas la gastiganton kiel 192.168.10.1. Ĉi tio permesas al JavaScript aliri servon ene de la loka reto, preterirante la transdevenan restrikton. kontraŭ tiaj atakoj en BIND baziĝas sur blokado de eksteraj serviloj de reveni IP-adresojn de la nuna interna reto aŭ CNAME-kaŝnomojn por lokaj domajnoj uzante la agordojn deny-answer-addresses kaj deny-answer-aliases.
fonto: opennet.ru