Korrigerande uppdateringar av de stabila grenarna av BIND DNS-servern 9.11.18 och 9.16.2, samt den experimentella grenen 9.17.1, som är under utveckling. I nya utgåvor säkerhetsproblem i samband med ineffektivt försvar mot attacker "» när du arbetar i läget för en DNS-server vidarebefordran förfrågningar (”vidarebefordrare”-blocket i inställningarna). Dessutom har man arbetat för att minska storleken på digital signaturstatistik som lagras i minnet för DNSSEC – antalet spårade nycklar har reducerats till 4 för varje zon, vilket är tillräckligt i 99 % av fallen.
Tekniken "DNS-rebinding" tillåter, när en användare öppnar en viss sida i en webbläsare, att upprätta en WebSocket-anslutning till en nätverkstjänst på det interna nätverket som inte är tillgänglig direkt via Internet. För att kringgå skyddet som används i webbläsare mot att gå utanför räckvidden för den aktuella domänen (korsorigin), ändra värdnamnet i DNS. Angriparens DNS-server är konfigurerad att skicka två IP-adresser en i taget: den första begäran skickar serverns riktiga IP med sidan, och efterföljande förfrågningar returnerar enhetens interna adress (till exempel 192.168.10.1).
Time to live (TTL) för det första svaret är satt till ett minimivärde, så när du öppnar sidan bestämmer webbläsaren den verkliga IP-adressen för angriparens server och laddar innehållet på sidan. Sidan kör JavaScript-kod som väntar på att TTL ska löpa ut och skickar en andra begäran, som nu identifierar värden som 192.168.10.1. Detta gör det möjligt för JavaScript att komma åt en tjänst inom det lokala nätverket, och kringgå begränsningen av kors ursprung. mot sådana attacker i BIND bygger på att blockera externa servrar från att returnera IP-adresser för det aktuella interna nätverket eller CNAME-alias för lokala domäner med hjälp av inställningarna för neka-svar-adresser och neka-svar-alias.
Källa: opennet.ru