ProHoster > blog > internetnieuws > BIND DNS-serverupdate 9.11.18, 9.16.2 en 9.17.1

BIND DNS-serverupdate 9.11.18, 9.16.2 en 9.17.1

Gepubliceerd Corrigerende updates voor de stabiele takken van de BIND DNS-server 9.11.18 en 9.16.2, evenals de experimentele tak 9.17.1, die in ontwikkeling is. In nieuwe uitgaven geëlimineerd veiligheidsprobleem geassocieerd met ineffectieve verdediging tegen aanvallen "DNS-herbinding» bij het werken in de modus van het doorsturen van verzoeken van een DNS-server (de “forwarders” blokkeren in de instellingen). Daarnaast is er gewerkt aan het verkleinen van de omvang van de digitale handtekeningstatistieken die in het geheugen van DNSSEC zijn opgeslagen: het aantal getraceerde sleutels is voor elke zone teruggebracht tot 4, wat in 99% van de gevallen voldoende is.

De “DNS rebinding”-techniek maakt het mogelijk om, wanneer een gebruiker een bepaalde pagina in een browser opent, een WebSocket-verbinding tot stand te brengen met een netwerkdienst op het interne netwerk die niet rechtstreeks via internet toegankelijk is. Om de bescherming te omzeilen die in browsers wordt gebruikt om buiten het bereik van het huidige domein te gaan (cross-origin), wijzigt u de hostnaam in DNS. De DNS-server van de aanvaller is geconfigureerd om twee IP-adressen één voor één te verzenden: het eerste verzoek verzendt het echte IP-adres van de server met de pagina, en daaropvolgende verzoeken retourneren het interne adres van het apparaat (bijvoorbeeld 192.168.10.1).

De time to live (TTL) voor het eerste antwoord is ingesteld op een minimumwaarde, dus bij het openen van de pagina bepaalt de browser het echte IP-adres van de server van de aanvaller en laadt de inhoud van de pagina. De pagina voert JavaScript-code uit die wacht tot de TTL verloopt en verzendt een tweede verzoek, dat de host nu identificeert als 192.168.10.1. Hierdoor heeft JavaScript toegang tot een dienst binnen het lokale netwerk, waarbij de cross-origin-beperking wordt omzeild. bescherming tegen dergelijke aanvallen in BIND is gebaseerd op het blokkeren van externe servers om IP-adressen van het huidige interne netwerk of CNAME-aliassen voor lokale domeinen terug te sturen met behulp van de instellingen voor weigeren-antwoord-adressen en weigeren-antwoord-aliassen.

Bron: opennet.ru

Voeg een reactie