Actualitzacions correctives a les branques estables del servidor BIND DNS 9.11.18 i 9.16.2, així com a la branca experimental 9.17.1, que està en desenvolupament. En nous llançaments problema de seguretat associat a una defensa ineficaç contra atacs "» quan es treballa en el mode de reenviament de sol·licituds d'un servidor DNS (el bloc "reenviadors" a la configuració). A més, s'ha treballat per reduir la mida de les estadístiques de signatura digital emmagatzemades a la memòria per a DNSSEC: el nombre de claus de seguiment s'ha reduït a 4 per a cada zona, la qual cosa és suficient en el 99% dels casos.
La tècnica de "revincular DNS" permet, quan un usuari obre una determinada pàgina en un navegador, establir una connexió WebSocket a un servei de xarxa de la xarxa interna que no és accessible directament a través d'Internet. Per evitar la protecció que s'utilitza als navegadors per no anar més enllà de l'abast del domini actual (origen creuat), canvieu el nom d'amfitrió al DNS. El servidor DNS de l'atacant està configurat per enviar dues adreces IP una per una: la primera sol·licitud envia la IP real del servidor amb la pàgina, i les peticions posteriors retornen l'adreça interna del dispositiu (per exemple, 192.168.10.1).
El temps de vida (TTL) per a la primera resposta s'estableix en un valor mínim, de manera que en obrir la pàgina, el navegador determina la IP real del servidor de l'atacant i carrega el contingut de la pàgina. La pàgina executa codi JavaScript que espera que caduqui el TTL i envia una segona sol·licitud, que ara identifica l'amfitrió com a 192.168.10.1. Això permet a JavaScript accedir a un servei dins de la xarxa local, evitant la restricció d'origen creuat. contra aquests atacs a BIND es basa en bloquejar els servidors externs perquè no retornin adreces IP de la xarxa interna actual o àlies CNAME per a dominis locals mitjançant la configuració de deny-answer-address i deny-answer-aliases.
Font: opennet.ru