Aktualizacje korygujące stabilnych gałęzi serwera DNS BIND 9.11.18 i 9.16.2, a także gałęzi eksperymentalnej 9.17.1, która jest w fazie rozwoju. W nowościach problem bezpieczeństwa związany z nieskuteczną obroną przed atakami”» podczas pracy w trybie przekazywania żądań przez serwer DNS (blokada „forwardery” w ustawieniach). Dodatkowo wykonano prace mające na celu zmniejszenie rozmiaru statystyk podpisów cyfrowych przechowywanych w pamięci dla DNSSEC – liczba śledzonych kluczy została zmniejszona do 4 dla każdej strefy, co jest wystarczające w 99% przypadków.
Technika „ponownego wiązania DNS” pozwala, gdy użytkownik otworzy określoną stronę w przeglądarce, nawiązać połączenie WebSocket z usługą sieciową w sieci wewnętrznej, która nie jest dostępna bezpośrednio przez Internet. Aby ominąć stosowane w przeglądarkach zabezpieczenia przed wyjściem poza zakres aktualnej domeny (cross-origin), należy zmienić nazwę hosta w DNS. Serwer DNS atakującego jest skonfigurowany tak, aby wysyłać dwa adresy IP jeden po drugim: pierwsze żądanie wysyła prawdziwy adres IP serwera ze stroną, a kolejne żądania zwracają wewnętrzny adres urządzenia (na przykład 192.168.10.1).
Czas życia (TTL) pierwszej odpowiedzi jest ustawiony na wartość minimalną, dzięki czemu przeglądarka otwierając stronę ustala prawdziwy adres IP serwera atakującego i ładuje zawartość strony. Strona uruchamia kod JavaScript, który czeka na wygaśnięcie TTL i wysyła drugie żądanie, które teraz identyfikuje hosta jako 192.168.10.1. Umożliwia to JavaScriptowi dostęp do usługi w sieci lokalnej, z pominięciem ograniczenia cross-origin. przed takimi atakami w BIND polega na blokowaniu zewnętrznym serwerom zwracania adresów IP bieżącej sieci wewnętrznej lub aliasów CNAME dla domen lokalnych przy użyciu ustawień adresów odmowy odpowiedzi i aliasów odmowy odpowiedzi.
Źródło: opennet.ru