Korektivna ažuriranja stabilnih grana BIND DNS servera 9.11.18 i 9.16.2, kao i eksperimentalne grane 9.17.1 koja je u razvoju. U novim izdanjima sigurnosni problem povezan s neefikasnom odbranom od napada"» kada radite u režimu DNS servera za prosleđivanje zahteva (blok „prosleđivači“ u podešavanjima). Osim toga, radilo se na smanjenju veličine statistike digitalnog potpisa pohranjene u memoriji za DNSSEC – broj praćenih ključeva je smanjen na 4 za svaku zonu, što je dovoljno u 99% slučajeva.
Tehnika “DNS ponovnog povezivanja” omogućava, kada korisnik otvori određenu stranicu u pretraživaču, da uspostavi WebSocket vezu sa mrežnim servisom na internoj mreži kojoj nije dostupan direktno putem Interneta. Da biste zaobišli zaštitu koja se koristi u pretraživačima od izlaska izvan opsega trenutnog domena (unakrsno porijeklo), promijenite ime hosta u DNS-u. DNS server napadača je konfigurisan da šalje dve IP adrese jednu po jednu: prvi zahtev šalje stvarnu IP adresu servera sa stranicom, a sledeći zahtevi vraćaju internu adresu uređaja (na primer, 192.168.10.1).
Vrijeme života (TTL) za prvi odgovor je postavljeno na minimalnu vrijednost, tako da prilikom otvaranja stranice pretraživač određuje pravi IP servera napadača i učitava sadržaj stranice. Stranica pokreće JavaScript kod koji čeka da TTL istekne i šalje drugi zahtjev, koji sada identificira host kao 192.168.10.1. Ovo omogućava JavaScriptu da pristupi servisu unutar lokalne mreže, zaobilazeći ograničenje višeg porijekla. protiv takvih napada u BIND-u se zasniva na blokiranju eksternih servera da vraćaju IP adrese trenutne interne mreže ili CNAME alijase za lokalne domene koristeći postavke deny-answer-addresses i deny-answer-aliases.
izvor: opennet.ru