Nganyari korektif menyang cabang stabil server BIND DNS 9.11.18 lan 9.16.2, uga cabang eksperimen 9.17.1, sing lagi dikembangake. Ing rilis anyar masalah keamanan sing ana gandhengane karo pertahanan sing ora efektif marang serangan "Β» nalika nggarap mode panjaluk sing terusake server DNS (blok "penerus" ing setelan). Kajaba iku, karya wis rampung kanggo nyuda ukuran statistik teken digital sing disimpen ing memori kanggo DNSSEC - jumlah kunci sing dilacak wis suda dadi 4 kanggo saben zona, sing cukup ing 99% kasus.
Teknik "DNS rebinding" ngidini, nalika pangguna mbukak kaca tartamtu ing browser, nggawe sambungan WebSocket menyang layanan jaringan ing jaringan internal sing ora bisa diakses langsung liwat Internet. Kanggo ngliwati proteksi sing digunakake ing browser supaya ora ngluwihi ruang lingkup domain saiki (salib-asal), ganti jeneng host ing DNS. Server DNS panyerang dikonfigurasi kanggo ngirim loro alamat IP siji-siji: panjalukan pisanan ngirim IP nyata server karo kaca kasebut, lan panjaluk sabanjure ngasilake alamat internal piranti kasebut (contone, 192.168.10.1).
Wektu kanggo urip (TTL) kanggo respon pisanan disetel menyang nilai minimal, mula nalika mbukak kaca, browser nemtokake IP nyata saka server penyerang lan ngemot isi kaca kasebut. Kaca kasebut nganggo kode JavaScript sing ngenteni TTL kadaluwarsa lan ngirim panjalukan kapindho, sing saiki ngenali host minangka 192.168.10.1. Iki ngidini JavaScript ngakses layanan ing jaringan lokal, ngliwati watesan lintas-asal. nglawan serangan kasebut ing BIND adhedhasar pamblokiran server eksternal saka alamat IP jaringan internal saiki utawa alias CNAME kanggo domain lokal kanthi nggunakake setelan alamat-jawaban lan nolak-jawaban alias.
Source: opennet.ru