Taisomi BIND DNS serverio 9.11.18 ir 9.16.2 stabilių šakų, taip pat eksperimentinės šakos 9.17.1, kuri yra kuriama, korekciniai atnaujinimai. Naujuose leidimuose saugumo problema, susijusi su neveiksminga gynyba nuo atakų.» dirbant DNS serverio užklausų persiuntimo režimu (nustatymuose esantis blokas „ekspeditoriai“). Be to, buvo atliktas darbas siekiant sumažinti DNSSEC atmintyje saugomos skaitmeninio parašo statistikos dydį – sekamų raktų skaičius sumažintas iki 4 kiekvienai zonai, ko pakanka 99% atvejų.
„DNS perrišimo“ technika leidžia, kai vartotojas naršyklėje atidaro tam tikrą puslapį, užmegzti „WebSocket“ ryšį su tinklo paslauga vidiniame tinkle, kuris nėra tiesiogiai pasiekiamas internetu. Norėdami apeiti naršyklėse naudojamą apsaugą nuo dabartinio domeno (kryžminės kilmės) ribų, pakeiskite pagrindinio kompiuterio pavadinimą DNS. Užpuoliko DNS serveris sukonfigūruotas siųsti du IP adresus po vieną: pirmoji užklausa kartu su puslapiu siunčia tikrąjį serverio IP, o kitos užklausos grąžina vidinį įrenginio adresą (pavyzdžiui, 192.168.10.1).
Laikas gyventi (TTL) pirmam atsakymui nustatytas iki minimalios reikšmės, todėl atidarydama puslapį naršyklė nustato tikrąjį užpuoliko serverio IP ir įkelia puslapio turinį. Puslapyje veikia JavaScript kodas, kuris laukia, kol baigsis TTL, ir siunčia antrą užklausą, kuri dabar identifikuoja pagrindinį kompiuterį kaip 192.168.10.1. Tai leidžia „JavaScript“ pasiekti paslaugą vietiniame tinkle, apeinant kryžminės kilmės apribojimą. apsauga nuo tokių atakų BIND yra pagrįsta išorinių serverių blokavimu, kad jie nesugrąžintų dabartinio vidinio tinklo IP adresų arba vietinių domenų CNAME slapyvardžių, naudojant deny-atsakymų adresų ir deny-atsakymo slapyvardžių nustatymus.
Šaltinis: opennet.ru