Aġġornamenti korrettivi għall-fergħat stabbli tas-server BIND DNS 9.11.18 u 9.16.2, kif ukoll il-fergħa sperimentali 9.17.1, li tinsab fl-iżvilupp. Fi ħarġiet ġodda problema tas-sigurtà assoċjata ma’ difiża ineffettiva kontra attakki "» meta taħdem fil-mod ta 'talbiet ta' twassil ta' server DNS (il-blokk "forwarders" fis-settings). Barra minn hekk, saret ħidma biex jitnaqqas id-daqs tal-istatistika tal-firma diġitali maħżuna fil-memorja għad-DNSSEC - in-numru ta 'ċwievet traċċati tnaqqas għal 4 għal kull żona, li huwa biżżejjed f'99% tal-każijiet.
It-teknika "DNS rebinding" tippermetti, meta utent jiftaħ ċerta paġna fil-browser, li jistabbilixxi konnessjoni WebSocket ma 'servizz tan-netwerk fuq in-netwerk intern li ma jkunx aċċessibbli direttament permezz tal-Internet. Biex taqbeż il-protezzjoni użata fil-browsers milli tmur lil hinn mill-ambitu tad-dominju attwali (cross-origin), ibdel l-isem tal-host fid-DNS. Is-server DNS tal-attakkant huwa kkonfigurat biex jibgħat żewġ indirizzi IP wieħed wieħed: l-ewwel talba tibgħat l-IP reali tas-server mal-paġna, u t-talbiet sussegwenti jirritornaw l-indirizz intern tal-apparat (per eżempju, 192.168.10.1).
Il-ħin biex tgħix (TTL) għall-ewwel rispons huwa ssettjat għal valur minimu, għalhekk meta tiftaħ il-paġna, il-browser jiddetermina l-IP reali tas-server tal-attakkant u jgħabbi l-kontenut tal-paġna. Il-paġna tmexxi kodiċi JavaScript li jistenna li t-TTL jiskadi u tibgħat it-tieni talba, li issa tidentifika lill-host bħala 192.168.10.1. Dan jippermetti lill-JavaScript jaċċessa servizz fi ħdan in-netwerk lokali, billi jevita r-restrizzjoni ta' oriġini inkroċjata. kontra attakki bħal dawn f'BIND huwa bbażat fuq l-imblukkar ta' servers esterni milli jirritornaw indirizzi IP tan-netwerk intern attwali jew aliases CNAME għal oqsma lokali bl-użu tas-settings deny-answer-addresses u deny-answer-aliases.
Sors: opennet.ru