Aggiornamenti correttivi ai rami stabili del server DNS BIND 9.11.18 e 9.16.2, nonché al ramo sperimentale 9.17.1, che è in fase di sviluppo. Nelle nuove uscite problema di sicurezza associato ad una difesa inefficace contro gli attacchi "» quando si lavora nella modalità di inoltro delle richieste da parte di un server DNS (il blocco "inoltro" nelle impostazioni). Inoltre, si è lavorato per ridurre la dimensione delle statistiche sulla firma digitale archiviate in memoria per DNSSEC: il numero di chiavi tracciate è stato ridotto a 4 per ciascuna zona, che è sufficiente nel 99% dei casi.
La tecnica del “DNS rebinding” consente, quando un utente apre una determinata pagina in un browser, di stabilire una connessione WebSocket ad un servizio di rete sulla rete interna che non è accessibile direttamente via Internet. Per aggirare la protezione utilizzata nei browser contro il superamento dell'ambito del dominio corrente (origine incrociata), modificare il nome host nel DNS. Il server DNS dell'aggressore è configurato per inviare due indirizzi IP uno per uno: la prima richiesta invia l'IP reale del server con la pagina, e le richieste successive restituiscono l'indirizzo interno del dispositivo (ad esempio, 192.168.10.1).
Il time to live (TTL) per la prima risposta è impostato su un valore minimo, quindi quando si apre la pagina, il browser determina l'IP reale del server dell'aggressore e carica il contenuto della pagina. La pagina esegue il codice JavaScript che attende la scadenza del TTL e invia una seconda richiesta, che ora identifica l'host come 192.168.10.1. Ciò consente a JavaScript di accedere a un servizio all'interno della rete locale, aggirando la restrizione multiorigine. contro tali attacchi in BIND si basa sul blocco dei server esterni dal restituire indirizzi IP dell'attuale rete interna o alias CNAME per domini locali utilizzando le impostazioni negazione-risposta-indirizzi e negazione-risposta-alias.
Fonte: opennet.ru