коригувальні оновлення стабільних гілок DNS-сервера BIND 9.11.18 і 9.16.2, а також експериментальної гілки, що знаходиться в розробці 9.17.1. У нових випусках проблема безпеки, пов'язана з неефективністю захисту від атак» під час роботи в режимі перенаправлення запитів DNS-сервера (блок «forwarders» у налаштуваннях). Крім того, проведена робота зі скорочення розміру статистики цифрових підписів для DNSSEC, що зберігається в пам'яті, — число відстежуваних ключів скорочено до 4 для кожної зони, чого достатньо в 99% випадків.
Техніка DNS rebinding дозволяє при відкритті користувачем певної сторінки в браузері встановити WebSocket-з'єднання до мережевого сервісу у внутрішній мережі, недоступному для прямого звернення через інтернет. Для обходу застосовуваної у браузерах захисту від виходу межі області поточного домену (cross-origin) застосовується зміна імені хоста в DNS. На DNS-сервері атакуючого налаштовується почергова віддача двох IP-адрес: на перший запит надається реальний IP сервера зі сторінкою, а на наступні запити повертається внутрішня адреса пристрою (наприклад, 192.168.10.1).
Час життя (TTL) для першої відповіді виставляється в мінімальне значення, тому при відкритті сторінки браузер визначає реальний IP-сервера атакуючого і завантажує вміст сторінки. На сторінці запускається JavaScript-код, який очікує закінчення TTL і відправляє другий запит, який тепер визначає хост як 192.168.10.1. Це дозволяє JavaScript звернутися до сервісу всередині локальної мережі, обійшовши обмеження cross-origin. від подібних атак у BIND заснована на блокуванні повернення зовнішніми серверами IP-адрес поточної внутрішньої мережі або CNAME-аліасів для локальних доменів за допомогою налаштувань deny-answer-addresses та deny-answer-aliases.
Джерело: opennet.ru