Korjaavat päivitykset BIND DNS -palvelimen vakaisiin haaroihin 9.11.18 ja 9.16.2 sekä kokeelliseen haaraan 9.17.1, joka on kehitteillä. Uusissa julkaisuissa turvallisuusongelma, joka liittyy tehottomaan torjuntaan hyökkäyksiä vastaan"» työskennellessäsi DNS-palvelimen tilassa pyyntöjen edelleenlähetys ("huolitsijat" -lohko asetuksissa). Lisäksi on tehty työtä DNSSEC:n muistiin tallennettavien digitaalisten allekirjoitusten tilastojen koon pienentämiseksi - jäljitettävien avainten määrä on vähennetty 4:ään jokaisella vyöhykkeellä, mikä riittää 99 %:ssa tapauksista.
"DNS-uudelleensidonta" -tekniikka mahdollistaa, kun käyttäjä avaa tietyn sivun selaimessa, muodostaa WebSocket-yhteyden verkkopalveluun sisäisessä verkossa, johon ei pääse suoraan Internetin kautta. Voit ohittaa selaimissa käytettävän suojan nykyisen toimialueen (ristilähtöisen) soveltamisalan ulkopuolelle muuttamalla DNS:n isäntänimeä. Hyökkääjän DNS-palvelin on määritetty lähettämään kaksi IP-osoitetta yksitellen: ensimmäinen pyyntö lähettää palvelimen todellisen IP-osoitteen sivun mukana ja seuraavat pyynnöt palauttavat laitteen sisäisen osoitteen (esimerkiksi 192.168.10.1).
Ensimmäisen vastauksen aika elää (TTL) on asetettu minimiarvoon, joten sivua avattaessa selain määrittää hyökkääjän palvelimen todellisen IP-osoitteen ja lataa sivun sisällön. Sivu suorittaa JavaScript-koodin, joka odottaa TTL:n vanhenemista ja lähettää toisen pyynnön, joka nyt tunnistaa isäntätunnuksen 192.168.10.1. Tämä mahdollistaa JavaScriptin pääsyn palveluun paikallisverkossa ohittaen ristiinlähtörajoituksen. tällaisia hyökkäyksiä vastaan BINDissa perustuu siihen, että ulkoisia palvelimia estetään palauttamasta nykyisen sisäisen verkon IP-osoitteita tai paikallisten verkkotunnusten CNAME-aliaksia käyttämällä deny-answer-osoitteet ja deny-answer-aliases -asetuksia.
Lähde: opennet.ru