การอัปเดตแก้ไขสาขาที่เสถียรของเซิร์ฟเวอร์ BIND DNS 9.11.18 และ 9.16.2 รวมถึงสาขาทดลอง 9.17.1 ซึ่งอยู่ในการพัฒนา ในการออกใหม่ ปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับการป้องกันการโจมตีที่ไม่มีประสิทธิภาพ "» เมื่อทำงานในโหมดคำขอส่งต่อเซิร์ฟเวอร์ DNS (บล็อก "ตัวส่งต่อ" ในการตั้งค่า) นอกจากนี้ ยังมีการทำงานเพื่อลดขนาดของสถิติลายเซ็นดิจิทัลที่จัดเก็บไว้ในหน่วยความจำสำหรับ DNSSEC - จำนวนคีย์ที่ติดตามลดลงเหลือ 4 คีย์สำหรับแต่ละโซน ซึ่งเพียงพอใน 99% ของกรณีทั้งหมด
เทคนิค “DNS rebinding” ช่วยให้เมื่อผู้ใช้เปิดหน้าบางหน้าในเบราว์เซอร์ เพื่อสร้างการเชื่อมต่อ WebSocket ไปยังบริการเครือข่ายบนเครือข่ายภายในที่ไม่สามารถเข้าถึงได้โดยตรงผ่านทางอินเทอร์เน็ต หากต้องการเลี่ยงการป้องกันที่ใช้ในเบราว์เซอร์ไม่ให้เกินขอบเขตของโดเมนปัจจุบัน (ข้ามต้นทาง) ให้เปลี่ยนชื่อโฮสต์ใน DNS เซิร์ฟเวอร์ DNS ของผู้โจมตีได้รับการกำหนดค่าให้ส่งที่อยู่ IP สองรายการทีละรายการ: คำขอแรกจะส่ง IP จริงของเซิร์ฟเวอร์พร้อมกับเพจ และคำขอต่อมาจะส่งคืนที่อยู่ภายในของอุปกรณ์ (เช่น 192.168.10.1)
Time to Live (TTL) สำหรับการตอบกลับครั้งแรกถูกกำหนดไว้ที่ค่าต่ำสุด ดังนั้นเมื่อเปิดเพจ เบราว์เซอร์จะกำหนด IP ที่แท้จริงของเซิร์ฟเวอร์ของผู้โจมตีและโหลดเนื้อหาของเพจ หน้านี้เรียกใช้โค้ด JavaScript ที่รอให้ TTL หมดอายุและส่งคำขอที่สอง ซึ่งขณะนี้ระบุโฮสต์เป็น 192.168.10.1 ซึ่งช่วยให้ JavaScript เข้าถึงบริการภายในเครือข่ายท้องถิ่นได้ โดยข้ามข้อจำกัดข้ามต้นทาง ต่อการโจมตีดังกล่าวใน BIND ขึ้นอยู่กับการบล็อกเซิร์ฟเวอร์ภายนอกจากการส่งคืนที่อยู่ IP ของเครือข่ายภายในปัจจุบันหรือนามแฝง CNAME สำหรับโดเมนท้องถิ่นโดยใช้การตั้งค่าปฏิเสธคำตอบที่อยู่และปฏิเสธคำตอบนามแฝง
ที่มา: opennet.ru