Actualizacións correctivas das ramas estables do servidor BIND DNS 9.11.18 e 9.16.2, así como da rama experimental 9.17.1, que está en desenvolvemento. En novos lanzamentos problema de seguridade asociado cunha defensa ineficaz contra ataques "» cando se traballa no modo de solicitudes de reenvío dun servidor DNS (o bloque "reenviadores" na configuración). Ademais, traballouse para reducir o tamaño das estatísticas de sinatura dixital almacenadas na memoria para DNSSEC: o número de claves rastrexadas reduciuse a 4 para cada zona, o que é suficiente no 99% dos casos.
A técnica "DNS rebinding" permite, cando un usuario abre unha determinada páxina nun navegador, establecer unha conexión WebSocket a un servizo de rede na rede interna que non é accesible directamente a través de Internet. Para evitar a protección utilizada nos navegadores contra ir máis aló do ámbito do dominio actual (orixe cruzada), cambia o nome de host en DNS. O servidor DNS do atacante está configurado para enviar dous enderezos IP un por un: a primeira solicitude envía a IP real do servidor coa páxina, e as posteriores devolven o enderezo interno do dispositivo (por exemplo, 192.168.10.1).
O tempo de vida (TTL) para a primeira resposta establécese nun valor mínimo, polo que ao abrir a páxina, o navegador determina a IP real do servidor do atacante e carga o contido da páxina. A páxina executa código JavaScript que agarda a que caduque o TTL e envía unha segunda solicitude, que agora identifica o host como 192.168.10.1. Isto permite que JavaScript acceda a un servizo dentro da rede local, evitando a restrición de orixe cruzada. contra estes ataques en BIND baséase en bloquear os servidores externos para que non devolvan enderezos IP da rede interna actual ou alias CNAME para dominios locais mediante a configuración de deny-answer-addresses e deny-answer-aliases.
Fonte: opennet.ru