Actualizări corective pentru ramurile stabile ale serverului BIND DNS 9.11.18 și 9.16.2, precum și ramura experimentală 9.17.1, care este în dezvoltare. În noile lansări problemă de securitate asociată cu apărarea ineficientă împotriva atacurilor"» atunci când lucrați în modul de redirecționare a cererilor unui server DNS (blocul „forwarderi” din setări). În plus, s-a depus eforturi pentru a reduce dimensiunea statisticilor de semnătură digitală stocate în memorie pentru DNSSEC - numărul de chei urmărite a fost redus la 4 pentru fiecare zonă, ceea ce este suficient în 99% din cazuri.
Tehnica „DNS rebinding” permite, atunci când un utilizator deschide o anumită pagină într-un browser, să stabilească o conexiune WebSocket la un serviciu de rețea din rețeaua internă care nu este accesibil direct prin Internet. Pentru a ocoli protecția utilizată în browsere împotriva depășirii domeniului de aplicare a domeniului curent (încrucișat), schimbați numele gazdei în DNS. Serverul DNS al atacatorului este configurat să trimită două adrese IP una câte una: prima solicitare trimite IP-ul real al serverului împreună cu pagina, iar cererile ulterioare returnează adresa internă a dispozitivului (de exemplu, 192.168.10.1).
Timpul de viață (TTL) pentru primul răspuns este setat la o valoare minimă, așa că la deschiderea paginii, browserul determină IP-ul real al serverului atacatorului și încarcă conținutul paginii. Pagina rulează cod JavaScript care așteaptă expirarea TTL și trimite o a doua solicitare, care identifică acum gazda ca 192.168.10.1. Acest lucru permite JavaScript să acceseze un serviciu în cadrul rețelei locale, ocolind restricția de origine încrucișată. împotriva unor astfel de atacuri în BIND se bazează pe blocarea serverelor externe de a returna adrese IP ale rețelei interne actuale sau alias-uri CNAME pentru domeniile locale folosind setările deny-answer-addresses și deny-answer-aliases.
Sursa: opennet.ru