Atualizações corretivas nas ramificações estáveis do servidor DNS BIND 9.11.18 e 9.16.2, bem como na ramificação experimental 9.17.1, que está em desenvolvimento. Em novos lançamentos problema de segurança associado à defesa ineficaz contra ataques "» ao trabalhar no modo de servidor DNS encaminhando solicitações (o bloco “encaminhadores” nas configurações). Além disso, foi feito um trabalho para reduzir o tamanho das estatísticas de assinatura digital armazenadas na memória para DNSSEC - o número de chaves rastreadas foi reduzido para 4 para cada zona, o que é suficiente em 99% dos casos.
A técnica “DNS rebinding” permite, quando um usuário abre uma determinada página em um navegador, estabelecer uma conexão WebSocket a um serviço de rede na rede interna que não é acessível diretamente pela Internet. Para contornar a proteção usada nos navegadores contra ir além do escopo do domínio atual (origem cruzada), altere o nome do host no DNS. O servidor DNS do invasor está configurado para enviar dois endereços IP um por um: a primeira solicitação envia o IP real do servidor com a página e as solicitações subsequentes retornam o endereço interno do dispositivo (por exemplo, 192.168.10.1).
O tempo de vida (TTL) da primeira resposta é definido como um valor mínimo, portanto, ao abrir a página, o navegador determina o IP real do servidor do invasor e carrega o conteúdo da página. A página executa o código JavaScript que aguarda a expiração do TTL e envia uma segunda solicitação, que agora identifica o host como 192.168.10.1. Isso permite que o JavaScript acesse um serviço na rede local, contornando a restrição de origem cruzada. contra tais ataques no BIND é baseado no bloqueio de servidores externos de retornarem endereços IP da rede interna atual ou aliases CNAME para domínios locais usando as configurações deny-answer-addresses e deny-answer-aliases.
Fonte: opennet.ru