Mises à jour correctives des branches stables du serveur DNS BIND 9.11.18 et 9.16.2, ainsi que de la branche expérimentale 9.17.1, en cours de développement. Dans les nouvelles versions problème de sécurité associé à une défense inefficace contre les attaques "» lorsque vous travaillez en mode serveur DNS, redirection des requêtes (le bloc « redirecteurs » dans les paramètres). De plus, des travaux ont été menés pour réduire la taille des statistiques de signature numérique stockées en mémoire pour DNSSEC - le nombre de clés suivies a été réduit à 4 pour chaque zone, ce qui est suffisant dans 99 % des cas.
La technique du « DNS rebinding » permet, lorsqu'un utilisateur ouvre une certaine page dans un navigateur, d'établir une connexion WebSocket à un service réseau du réseau interne qui n'est pas accessible directement via Internet. Pour contourner la protection utilisée dans les navigateurs contre le dépassement du domaine actuel (cross-origin), modifiez le nom d'hôte dans DNS. Le serveur DNS de l'attaquant est configuré pour envoyer deux adresses IP une par une : la première requête envoie la véritable IP du serveur avec la page, et les requêtes suivantes renvoient l'adresse interne de l'appareil (par exemple, 192.168.10.1).
La durée de vie (TTL) de la première réponse est fixée à une valeur minimale, ainsi lors de l'ouverture de la page, le navigateur détermine la véritable adresse IP du serveur de l'attaquant et charge le contenu de la page. La page exécute du code JavaScript qui attend l'expiration du TTL et envoie une deuxième requête, qui identifie désormais l'hôte comme 192.168.10.1. Cela permet à JavaScript d'accéder à un service au sein du réseau local, en contournant la restriction d'origine croisée. La protection contre de telles attaques dans BIND consiste à empêcher les serveurs externes de renvoyer les adresses IP du réseau interne actuel ou les alias CNAME pour les domaines locaux à l'aide des paramètres de refus d'adresses de réponse et d'alias de réponse refusée.
Source: opennet.ru