ProHoster > Blog > balita sa internet > BIND DNS Server Update 9.11.18, 9.16.2 at 9.17.1

BIND DNS Server Update 9.11.18, 9.16.2 at 9.17.1

Nai-publish Mga pagwawasto na update sa mga stable na branch ng BIND DNS server 9.11.18 at 9.16.2, pati na rin ang experimental branch 9.17.1, na nasa development. Sa mga bagong release inalis problema sa seguridad na nauugnay sa hindi epektibong pagtatanggol laban sa mga pag-atake "Rebinding ng DNSΒ» kapag nagtatrabaho sa mode ng mga kahilingan sa pagpapasa ng DNS server (ang bloke ng "mga forwarder" sa mga setting). Bilang karagdagan, ang trabaho ay ginawa upang bawasan ang laki ng mga istatistika ng digital na lagda na nakaimbak sa memorya para sa DNSSEC - ang bilang ng mga sinusubaybayang key ay nabawasan sa 4 para sa bawat zone, na sapat sa 99% ng mga kaso.

Ang diskarteng "rebinding ng DNS" ay nagbibigay-daan, kapag ang isang gumagamit ay nagbukas ng isang partikular na pahina sa isang browser, na magtatag ng isang koneksyon sa WebSocket sa isang serbisyo ng network sa panloob na network na hindi direktang naa-access sa pamamagitan ng Internet. Upang i-bypass ang proteksyon na ginagamit sa mga browser laban sa paglampas sa saklaw ng kasalukuyang domain (cross-origin), baguhin ang host name sa DNS. Ang DNS server ng attacker ay na-configure upang magpadala ng dalawang IP address nang isa-isa: ang unang kahilingan ay nagpapadala ng tunay na IP ng server kasama ang pahina, at ang mga kasunod na kahilingan ay nagbabalik ng panloob na address ng device (halimbawa, 192.168.10.1).

Ang oras upang mabuhay (TTL) para sa unang tugon ay nakatakda sa isang minimum na halaga, kaya kapag binubuksan ang pahina, tinutukoy ng browser ang tunay na IP ng server ng umaatake at nilo-load ang mga nilalaman ng pahina. Ang pahina ay nagpapatakbo ng JavaScript code na naghihintay para sa TTL na mag-expire at nagpapadala ng pangalawang kahilingan, na ngayon ay kinikilala ang host bilang 192.168.10.1. Nagbibigay-daan ito sa JavaScript na ma-access ang isang serbisyo sa loob ng lokal na network, na lumalampas sa cross-origin restriction. proteksyon laban sa mga naturang pag-atake sa BIND ay batay sa pagharang sa mga panlabas na server mula sa pagbabalik ng mga IP address ng kasalukuyang panloob na network o mga alyas ng CNAME para sa mga lokal na domain gamit ang mga setting ng deny-answer-address at deny-answer-aliases.

Pinagmulan: opennet.ru

Magdagdag ng komento