L'aghjurnamenti currettivi à i rami stabili di u servitore BIND DNS 9.11.18 è 9.16.2, è ancu a branche sperimentale 9.17.1, chì hè in sviluppu. In novi versioni prublema di sicurità assuciata à una difesa inefficace contr'à attacchi "» quandu travaglia in u modu di un servitore DNS invià e dumande (u bloccu "forwarders" in i paràmetri). Inoltre, u travagliu hè statu fattu per riduce a dimensione di e statistiche di firma digitale almacenate in memoria per DNSSEC - u numeru di chjavi tracciati hè stata ridutta à 4 per ogni zona, chì hè abbastanza in u 99% di i casi.
A tecnica "DNS rebinding" permette, quandu un utilizatore apre una certa pagina in un navigatore, per stabilisce una cunnessione WebSocket à un serviziu di rete in a reta interna chì ùn hè micca accessibile direttamente via Internet. Per scaccià a prutezzione utilizata in i navigatori contru à andà fora di u scopu di u duminiu attuale (cross-origine), cambia u nome di l'ospite in DNS. U servitore DNS di l'attaccante hè cunfiguratu per mandà dui indirizzi IP unu per unu: a prima dumanda manda l'IP reale di u servitore cù a pagina, è e richieste sussegwente tornanu l'indirizzu internu di u dispusitivu (per esempiu, 192.168.10.1).
U tempu di vive (TTL) per a prima risposta hè stabilitu à un valore minimu, cusì quandu apre a pagina, u navigatore determina l'IP reale di u servitore di l'attaccante è carica u cuntenutu di a pagina. A pagina esegue codice JavaScript chì aspetta chì u TTL scadrà è manda una seconda dumanda, chì avà identifica l'ospitu cum'è 192.168.10.1. Questu permette à JavaScript per accede à un serviziu in a reta lucale, sguassendu a restrizione d'origine incruciata. contr'à tali attacchi in BIND hè basatu annantu à u bluccatu di i servitori esterni da rinvià l'indirizzi IP di a rete interna attuale o l'aliasi CNAME per i domini lucali utilizendu i paràmetri di deny-answer-addresses è deny-answer-aliases.
Source: opennet.ru