BIND DNS sunucusu 9.11.18 ve 9.16.2'nin kararlı dallarının yanı sıra geliştirilmekte olan deneysel dal 9.17.1'e yönelik düzeltici güncellemeler. Yeni sürümlerde saldırılara karşı etkisiz savunmayla ilişkili güvenlik sorunu "» DNS sunucusu yönlendirme istekleri modunda çalışırken (ayarlardaki “ileticiler” bloğu). Ayrıca, DNSSEC için bellekte saklanan dijital imza istatistiklerinin boyutunun azaltılmasına yönelik çalışmalar yapıldı - izlenen anahtarların sayısı, her bölge için 4'e düşürüldü; bu, vakaların %99'unda yeterlidir.
"DNS yeniden bağlama" tekniği, bir kullanıcı tarayıcıda belirli bir sayfayı açtığında, dahili ağ üzerinde doğrudan İnternet üzerinden erişilemeyen bir ağ hizmetiyle WebSocket bağlantısı kurulmasına olanak tanır. Geçerli alan adının kapsamının dışına çıkmaya (çapraz köken) karşı tarayıcılarda kullanılan korumayı atlamak için DNS'deki ana bilgisayar adını değiştirin. Saldırganın DNS sunucusu iki IP adresini birer birer gönderecek şekilde yapılandırılmıştır: ilk istek sayfayla birlikte sunucunun gerçek IP'sini gönderir ve sonraki istekler cihazın dahili adresini döndürür (örneğin, 192.168.10.1).
İlk yanıtın geçerlilik süresi (TTL) minimum bir değere ayarlanmıştır, bu nedenle sayfayı açarken tarayıcı, saldırganın sunucusunun gerçek IP'sini belirler ve sayfanın içeriğini yükler. Sayfa, TTL'nin süresinin dolmasını bekleyen ve artık ana makineyi 192.168.10.1 olarak tanımlayan ikinci bir istek gönderen JavaScript kodunu çalıştırıyor. Bu, JavaScript'in çapraz köken kısıtlamasını atlayarak yerel ağ içindeki bir hizmete erişmesine olanak tanır. BIND'de bu tür saldırılara karşı koruma, harici sunucuların mevcut dahili ağın IP adreslerini veya yerel etki alanları için CNAME takma adlarını reddetme-yanıt-adresleri ve reddetme-yanıt-takma adları ayarlarını kullanarak döndürmesini engellemeye dayanır.
Kaynak: opennet.ru