Mizajou korektif nan branch ki estab nan sèvè BIND DNS 9.11.18 ak 9.16.2, osi byen ke branch eksperimantal 9.17.1, ki se nan devlopman. Nan nouvo degaje pwoblèm sekirite ki asosye ak defans efikas kont atak "» lè w ap travay nan mòd yon sèvè DNS voye demann (blòk "transfèktè" nan paramèt yo). Anplis de sa, travay yo te fèt pou redwi gwosè a nan estatistik siyati dijital ki estoke nan memwa pou DNSSEC - kantite kle ki swiv yo te redwi a 4 pou chak zòn, ki se ase nan 99% nan ka yo.
Teknik "DNS rebinding" la pèmèt, lè yon itilizatè ouvri yon paj sèten nan yon navigatè, etabli yon koneksyon WebSocket ak yon sèvis rezo sou rezo entèn la ki pa aksesib dirèkteman sou entènèt la. Pou kontoune pwoteksyon yo itilize nan navigatè yo kont ale pi lwen pase domèn aktyèl la (kwa-orijin), chanje non lame a nan DNS. Sèvè DNS atakè a konfigirasyon pou voye de adrès IP youn pa youn: premye demann voye IP reyèl sèvè a ak paj la, ak demann ki vin apre yo retounen adrès entèn aparèy la (pa egzanp, 192.168.10.1).
Tan pou viv (TTL) pou premye repons lan se yon valè minimòm, kidonk lè w ap louvri paj la, navigatè a detèmine IP reyèl sèvè atakè a epi chaje sa ki nan paj la. Paj la kouri kòd JavaScript ki tann pou TTL la ekspire epi voye yon dezyèm demann, ki kounye a idantifye lame a kòm 192.168.10.1. Sa a pèmèt JavaScript jwenn aksè nan yon sèvis nan rezo lokal la, kontoune restriksyon kwa-orijin lan. kont atak sa yo nan BIND baze sou bloke sèvè ekstèn pou retounen adrès IP nan rezo entèn aktyèl la oswa alyas CNAME pou domèn lokal yo lè l sèvi avèk paramèt refize-repons-adrès ak refi-repons-alyas.
Sous: opennet.ru