BIND DNS серверінің 9.11.18 және 9.16.2 тұрақты тармақтарына, сондай-ақ әзірлену үстіндегі 9.17.1 эксперименттік тармағына түзетуші жаңартулар. Жаңа шығарылымдарда шабуылдардан тиімсіз қорғаныспен байланысты қауіпсіздік мәселесі »» DNS серверінің сұрауларды қайта жіберу режимінде жұмыс істегенде (параметрлердегі «экспедиторлар» блогы). Сонымен қатар, DNSSEC үшін жадта сақталатын ЭЦҚ статистикасының көлемін азайту бойынша жұмыс жүргізілді – бақыланатын кілттер саны әрбір аймақ үшін 4-ке дейін қысқартылды, бұл 99% жағдайда жеткілікті.
«DNS қайта байланыстыру» әдісі пайдаланушы браузерде белгілі бір бетті ашқанда, Интернет арқылы тікелей қол жеткізуге болмайтын ішкі желідегі желі қызметіне WebSocket қосылымын орнатуға мүмкіндік береді. Ағымдағы доменнің ауқымынан (кросс-оригиналы) шығудан браузерлерде қолданылатын қорғауды айналып өту үшін DNS жүйесіндегі хост атауын өзгертіңіз. Шабуылдаушының DNS сервері екі IP мекенжайын бір-бірден жіберуге конфигурацияланған: бірінші сұрау сервердің нақты IP мекенжайын бетпен жібереді, ал кейінгі сұраулар құрылғының ішкі мекенжайын қайтарады (мысалы, 192.168.10.1).
Бірінші жауап үшін өмір сүру уақыты (TTL) ең төменгі мәнге орнатылады, сондықтан бетті ашқан кезде браузер шабуылдаушы серверінің нақты IP мекенжайын анықтайды және бет мазмұнын жүктейді. Бет TTL мерзімінің аяқталуын күтетін JavaScript кодын іске қосады және енді хостты 192.168.10.1 ретінде анықтайтын екінші сұрауды жібереді. Бұл JavaScript-ке жергілікті желідегі қызметке кросс-шығу шектеуін айналып өтуге мүмкіндік береді. BIND-де мұндай шабуылдарға қарсы әрекет сыртқы серверлердің ағымдағы ішкі желінің IP мекенжайларын немесе жергілікті домендерге арналған CNAME бүркеншік аттарын қайтармау-жауап-мекенжайлары мен жауап беруден бас тарту-бүркеншік аттары параметрлерін пайдалану арқылы блоктауға негізделген.
Ақпарат көзі: opennet.ru