Përditësimet korrigjuese për degët e qëndrueshme të serverit BIND DNS 9.11.18 dhe 9.16.2, si dhe degën eksperimentale 9.17.1, e cila është në zhvillim. Në lëshimet e reja problemi i sigurisë i lidhur me mbrojtjen joefektive kundër sulmeve "» kur punoni në modalitetin e kërkesave të përcjelljes së serverit DNS (blloku "përcjellës" në cilësimet). Përveç kësaj, është punuar për të zvogëluar madhësinë e statistikave të nënshkrimeve dixhitale të ruajtura në memorie për DNSSEC - numri i çelësave të gjurmuar është reduktuar në 4 për secilën zonë, gjë që është e mjaftueshme në 99% të rasteve.
Teknika "DNS ribinding" lejon, kur një përdorues hap një faqe të caktuar në një shfletues, të krijojë një lidhje WebSocket me një shërbim rrjeti në rrjetin e brendshëm që nuk është i aksesueshëm drejtpërdrejt nëpërmjet internetit. Për të anashkaluar mbrojtjen e përdorur në shfletues kundër tejkalimit të fushës së domenit aktual (origjina e kryqëzuar), ndryshoni emrin e hostit në DNS. Serveri DNS i sulmuesit është konfiguruar të dërgojë dy adresa IP një nga një: kërkesa e parë dërgon IP-në reale të serverit me faqen dhe kërkesat pasuese kthejnë adresën e brendshme të pajisjes (për shembull, 192.168.10.1).
Koha për të jetuar (TTL) për përgjigjen e parë është vendosur në një vlerë minimale, kështu që kur hapni faqen, shfletuesi përcakton IP-në reale të serverit të sulmuesit dhe ngarkon përmbajtjen e faqes. Faqja ekzekuton kodin JavaScript që pret që TTL të skadojë dhe dërgon një kërkesë të dytë, e cila tani e identifikon hostin si 192.168.10.1. Kjo lejon JavaScript të aksesojë një shërbim brenda rrjetit lokal, duke anashkaluar kufizimin e origjinës së kryqëzuar. kundër sulmeve të tilla në BIND bazohet në bllokimin e serverëve të jashtëm nga kthimi i adresave IP të rrjetit aktual të brendshëm ose pseudonimeve CNAME për domenet lokale duke përdorur cilësimet e adresave të mohimit-përgjigje dhe të emërtimeve të refuzimit-përgjigje.
Burimi: opennet.ru