Masasisho ya kurekebisha kwa matawi thabiti ya seva ya BIND DNS 9.11.18 na 9.16.2, pamoja na tawi la majaribio 9.17.1, ambalo linatengenezwa. Katika matoleo mapya tatizo la usalama linalohusishwa na ulinzi usiofaa dhidi ya mashambulizi"Β»wakati wa kufanya kazi katika hali ya maombi ya usambazaji wa seva ya DNS (kizuizi cha "wasambazaji" kwenye mipangilio). Kwa kuongeza, kazi imefanywa ili kupunguza ukubwa wa takwimu za saini za digital zilizohifadhiwa kwenye kumbukumbu kwa DNSSEC - idadi ya funguo zilizofuatiliwa imepunguzwa hadi 4 kwa kila kanda, ambayo inatosha katika 99% ya kesi.
Mbinu ya "DNS rebinding" inaruhusu, wakati mtumiaji anafungua ukurasa fulani kwenye kivinjari, kuanzisha uhusiano wa WebSocket kwenye huduma ya mtandao kwenye mtandao wa ndani ambao haupatikani moja kwa moja kupitia mtandao. Ili kukwepa ulinzi unaotumiwa katika vivinjari dhidi ya kwenda zaidi ya upeo wa kikoa cha sasa (asili-msingi), badilisha jina la seva pangishi katika DNS. Seva ya DNS ya mshambulizi imesanidiwa kutuma anwani mbili za IP moja baada ya nyingine: ombi la kwanza hutuma IP halisi ya seva na ukurasa, na maombi yanayofuata yanarudisha anwani ya ndani ya kifaa (kwa mfano, 192.168.10.1).
Muda wa kuishi (TTL) kwa jibu la kwanza umewekwa kwa thamani ya chini, hivyo wakati wa kufungua ukurasa, kivinjari huamua IP halisi ya seva ya mshambuliaji na kupakia yaliyomo kwenye ukurasa. Ukurasa unaendesha msimbo wa JavaScript ambao unasubiri muda wa TTL kuisha na kutuma ombi la pili, ambalo sasa linatambulisha mpangishi kama 192.168.10.1. Hii inaruhusu JavaScript kufikia huduma ndani ya mtandao wa ndani, kwa kupita kizuizi cha asili tofauti. dhidi ya mashambulizi kama hayo katika BIND ni msingi wa kuzuia seva za nje zisirudishe anwani za IP za mtandao wa ndani wa sasa au lakabu za CNAME za vikoa vya karibu kwa kutumia mipangilio ya kukataa-jibu-na lakabu za kukataa-jibu.
Chanzo: opennet.ru