Javító frissítések a BIND DNS-kiszolgáló 9.11.18 és 9.16.2 stabil ágaihoz, valamint a fejlesztés alatt álló 9.17.1 kísérleti ághoz. Új kiadásokban biztonsági probléma a támadások elleni nem hatékony védekezéssel”» DNS-kiszolgáló módban végzett kérések továbbításakor (a beállításoknál a „továbbítók” blokk). Emellett dolgoztak a DNSSEC memóriájában tárolt digitális aláírási statisztikák méretének csökkentésén – a nyomon követett kulcsok száma 4-re csökkent minden zónában, ami az esetek 99%-ában elegendő.
A „DNS-újrakötés” technika lehetővé teszi, hogy amikor a felhasználó megnyit egy bizonyos oldalt a böngészőben, WebSocket-kapcsolatot hozzon létre a belső hálózat olyan hálózati szolgáltatásához, amely nem érhető el közvetlenül az interneten keresztül. A böngészőkben használt védelem megkerüléséhez az aktuális tartomány hatókörén túllépés ellen (kereszt eredetű), módosítsa a gazdagép nevét a DNS-ben. A támadó DNS-kiszolgálója úgy van beállítva, hogy egyenként két IP-címet küldjön ki: az első kérés az oldallal együtt elküldi a szerver valódi IP-címét, a további kérések pedig az eszköz belső címét (például 192.168.10.1).
Az elsõ válaszhoz tartozó élettartam (TTL) minimális értékre van állítva, így az oldal megnyitásakor a böngészõ meghatározza a támadó szerverének valós IP-címét, és betölti az oldal tartalmát. Az oldal JavaScript-kódot futtat, amely megvárja a TTL lejártát, és elküld egy második kérést, amely most 192.168.10.1-ként azonosítja a gazdagépet. Ez lehetővé teszi, hogy a JavaScript hozzáférjen egy szolgáltatáshoz a helyi hálózaton belül, megkerülve a több eredetre vonatkozó korlátozást. Az ilyen támadások elleni védekezés a BIND-ban azon alapul, hogy a külső szerverek blokkolják az aktuális belső hálózat IP-címeit vagy a helyi tartományok CNAME-álneveit a deny-answer-dresses és deny-answer-aliases beállítások használatával.
Forrás: opennet.ru