Actualizaciones correctivas a las ramas estables del servidor DNS BIND 9.11.18 y 9.16.2, así como a la rama experimental 9.17.1, que se encuentra en desarrollo. En nuevos lanzamientos problema de seguridad asociado con una defensa ineficaz contra ataques "» cuando se trabaja en el modo de un servidor DNS, reenvía solicitudes (el bloque "reenviadores" en la configuración). Además, se ha trabajado para reducir el tamaño de las estadísticas de firmas digitales almacenadas en la memoria para DNSSEC: el número de claves rastreadas se ha reducido a 4 para cada zona, lo que es suficiente en el 99% de los casos.
La técnica de “rebinding DNS” permite, cuando un usuario abre una determinada página en un navegador, establecer una conexión WebSocket a un servicio de red en la red interna al que no se puede acceder directamente a través de Internet. Para evitar la protección utilizada en los navegadores contra ir más allá del alcance del dominio actual (origen cruzado), cambie el nombre del host en DNS. El servidor DNS del atacante está configurado para enviar dos direcciones IP una por una: la primera solicitud envía la IP real del servidor con la página y las solicitudes posteriores devuelven la dirección interna del dispositivo (por ejemplo, 192.168.10.1).
El tiempo de vida (TTL) para la primera respuesta se establece en un valor mínimo, por lo que al abrir la página, el navegador determina la IP real del servidor del atacante y carga el contenido de la página. La página ejecuta código JavaScript que espera a que caduque el TTL y envía una segunda solicitud, que ahora identifica al host como 192.168.10.1. Esto permite que JavaScript acceda a un servicio dentro de la red local, evitando la restricción de origen cruzado. contra tales ataques en BIND se basa en bloquear servidores externos para que no devuelvan direcciones IP de la red interna actual o alias CNAME para dominios locales usando las configuraciones de denegar direcciones de respuesta y denegar alias de respuestas.
Fuente: opennet.ru