Ուղղիչ թարմացումներ BIND DNS սերվերի 9.11.18 և 9.16.2 կայուն մասնաճյուղերի, ինչպես նաև 9.17.1 փորձնական մասնաճյուղի, որը մշակման փուլում է: Նոր թողարկումներում անվտանգության խնդիր՝ կապված հարձակումներից անարդյունավետ պաշտպանության հետ»» DNS սերվերի վերահասցեավորման հարցումների ռեժիմում աշխատելիս («փոխադրողներ» բլոկը կարգավորումներում): Բացի այդ, աշխատանք է տարվել DNSSEC-ի հիշողության մեջ պահվող թվային ստորագրության վիճակագրության չափը նվազեցնելու ուղղությամբ. հետևվող ստեղների թիվը կրճատվել է մինչև 4-ի յուրաքանչյուր գոտու համար, ինչը բավարար է 99% դեպքերում:
«DNS rebinding» տեխնիկան թույլ է տալիս, երբ օգտատերը բրաուզերում բացում է որոշակի էջ, WebSocket կապ հաստատել ներքին ցանցի ցանցային ծառայության հետ, որը հասանելի չէ անմիջապես ինտերնետի միջոցով: Բրաուզերներում օգտագործվող պաշտպանությունը շրջանցելու համար ընթացիկ տիրույթի շրջանակներից դուրս գալուց (խաչաձև ծագում), փոխեք հոսթի անունը DNS-ում: Հարձակվողի DNS սերվերը կազմաձևված է այնպես, որ մեկ առ մեկ ուղարկի երկու IP հասցե. առաջին հարցումը էջի հետ ուղարկում է սերվերի իրական IP-ն, իսկ հաջորդ հարցումները վերադարձնում են սարքի ներքին հասցեն (օրինակ՝ 192.168.10.1):
Առաջին պատասխանի համար ապրելու ժամանակը (TTL) սահմանված է նվազագույն արժեքի, ուստի էջը բացելիս զննարկիչը որոշում է հարձակվողի սերվերի իրական IP-ն և բեռնում է էջի բովանդակությունը: Էջը գործարկում է JavaScript կոդը, որը սպասում է TTL-ի ժամկետի ավարտին և ուղարկում է երկրորդ հարցումը, որն այժմ նույնականացնում է հոսթը՝ որպես 192.168.10.1: Սա թույլ է տալիս JavaScript-ին մուտք գործել ծառայություն տեղական ցանցի ներսում՝ շրջանցելով խաչաձեւ ծագման սահմանափակումը: Նման հարձակումների դեմ BIND-ը հիմնված է արտաքին սերվերների կողմից ընթացիկ ներքին ցանցի IP հասցեները վերադարձնելուց կամ CNAME այլանունները տեղական տիրույթների համար՝ օգտագործելով deny-answer-հասցեներ և deny-answer-aliases կարգավորումները արգելափակելու վրա:
Source: opennet.ru