Korektivna ažuriranja stabilnih grana BIND DNS poslužitelja 9.11.18 i 9.16.2, kao i eksperimentalne grane 9.17.1, koja je u razvoju. U novim izdanjima sigurnosni problem povezan s neučinkovitom obranom od napada "» kada radite u načinu rada DNS poslužitelja za prosljeđivanje zahtjeva (blok "prosljeđivači" u postavkama). Osim toga, radilo se na smanjenju veličine statistike digitalnog potpisa pohranjene u memoriji za DNSSEC - broj praćenih ključeva smanjen je na 4 za svaku zonu, što je dovoljno u 99% slučajeva.
Tehnika “DNS rebinding” omogućuje, kada korisnik otvori određenu stranicu u pregledniku, uspostavljanje WebSocket veze s mrežnim servisom na internoj mreži koji nije dostupan izravno putem interneta. Da biste zaobišli zaštitu koja se koristi u preglednicima protiv izlaska izvan opsega trenutne domene (cross-origin), promijenite naziv hosta u DNS-u. Napadačev DNS poslužitelj konfiguriran je za slanje dvije IP adrese jednu po jednu: prvi zahtjev šalje pravi IP poslužitelja sa stranicom, a sljedeći zahtjevi vraćaju internu adresu uređaja (na primjer, 192.168.10.1).
Vrijeme života (TTL) za prvi odgovor postavljeno je na minimalnu vrijednost, tako da prilikom otvaranja stranice preglednik utvrđuje pravi IP poslužitelja napadača i učitava sadržaj stranice. Stranica pokreće JavaScript kod koji čeka da TTL istekne i šalje drugi zahtjev, koji sada identificira host kao 192.168.10.1. To omogućuje JavaScriptu pristup usluzi unutar lokalne mreže, zaobilazeći ograničenje uzajamnog podrijetla. protiv takvih napada u BIND-u se temelji na blokiranju vanjskih poslužitelja od vraćanja IP adresa trenutne interne mreže ili CNAME aliasa za lokalne domene pomoću postavki deny-answer-addresses i deny-answer-aliases.
Izvor: opennet.ru