Pembaruan korektif pada cabang stabil server DNS BIND 9.11.18 dan 9.16.2, serta cabang eksperimental 9.17.1, yang sedang dalam pengembangan. Dalam rilis baru masalah keamanan yang terkait dengan pertahanan yang tidak efektif terhadap serangan "» saat bekerja dalam mode permintaan penerusan server DNS (blok "penerusan" dalam pengaturan). Selain itu, upaya telah dilakukan untuk mengurangi ukuran statistik tanda tangan digital yang disimpan dalam memori DNSSEC - jumlah kunci yang dilacak telah dikurangi menjadi 4 untuk setiap zona, yang cukup dalam 99% kasus.
Teknik “DNS rebinding” memungkinkan, ketika pengguna membuka halaman tertentu di browser, untuk membuat koneksi WebSocket ke layanan jaringan di jaringan internal yang tidak dapat diakses secara langsung melalui Internet. Untuk melewati perlindungan yang digunakan di browser agar tidak melampaui cakupan domain saat ini (lintas asal), ubah nama host di DNS. Server DNS penyerang dikonfigurasi untuk mengirim dua alamat IP satu per satu: permintaan pertama mengirimkan IP asli server dengan halaman tersebut, dan permintaan berikutnya mengembalikan alamat internal perangkat (misalnya, 192.168.10.1).
Time to live (TTL) untuk respons pertama disetel ke nilai minimum, sehingga saat membuka halaman, browser menentukan IP sebenarnya dari server penyerang dan memuat konten halaman. Halaman tersebut menjalankan kode JavaScript yang menunggu TTL kedaluwarsa dan mengirimkan permintaan kedua, yang sekarang mengidentifikasi host sebagai 192.168.10.1. Hal ini memungkinkan JavaScript untuk mengakses layanan dalam jaringan lokal, melewati batasan lintas asal. terhadap serangan semacam itu di BIND didasarkan pada pemblokiran server eksternal agar tidak mengembalikan alamat IP jaringan internal saat ini atau alias CNAME untuk domain lokal menggunakan pengaturan alamat-jawab-tolak dan alias-tolak-jawab-alias.
Sumber: opennet.ru