Korrigerende oppdateringer til de stabile grenene til BIND DNS-serveren 9.11.18 og 9.16.2, samt den eksperimentelle grenen 9.17.1, som er under utvikling. I nye utgivelser sikkerhetsproblem knyttet til ineffektivt forsvar mot angrep "» når du arbeider i modusen til en DNS-server videresendingsforespørsler («videresendingsblokken» i innstillingene). I tillegg er det arbeidet med å redusere størrelsen på digital signaturstatistikk lagret i minnet for DNSSEC – antall sporede nøkler er redusert til 4 for hver sone, noe som er tilstrekkelig i 99 % av tilfellene.
"DNS rebinding"-teknikken tillater, når en bruker åpner en bestemt side i en nettleser, å etablere en WebSocket-forbindelse til en nettverkstjeneste på det interne nettverket som ikke er tilgjengelig direkte via Internett. For å omgå beskyttelsen som brukes i nettlesere mot å gå utover omfanget av gjeldende domene (kryssopprinnelse), endre vertsnavnet i DNS. Angriperens DNS-server er konfigurert til å sende to IP-adresser én etter én: den første forespørselen sender den virkelige IP-en til serveren med siden, og påfølgende forespørsler returnerer den interne adressen til enheten (for eksempel 192.168.10.1).
Time to live (TTL) for det første svaret er satt til en minimumsverdi, så når du åpner siden, bestemmer nettleseren den virkelige IP-en til angriperens server og laster inn innholdet på siden. Siden kjører JavaScript-kode som venter på at TTL utløper og sender en ny forespørsel, som nå identifiserer verten som 192.168.10.1. Dette tillater JavaScript å få tilgang til en tjeneste innenfor det lokale nettverket, og omgå kryssopprinnelsesbegrensningen. mot slike angrep i BIND er basert på å blokkere eksterne servere fra å returnere IP-adresser til det gjeldende interne nettverket eller CNAME-aliaser for lokale domener ved å bruke innstillingene for nekte-svar-adresser og nekte-svar-aliaser.
Kilde: opennet.ru