Diweddariadau cywirol i ganghennau sefydlog y gweinydd DNS BIND 9.11.18 a 9.16.2, yn ogystal â'r gangen arbrofol 9.17.1, sy'n cael ei datblygu. Mewn datganiadau newydd problem diogelwch sy'n gysylltiedig ag amddiffyniad aneffeithiol yn erbyn ymosodiadau"» wrth weithio yn y modd gweinydd DNS anfon ceisiadau ymlaen (y bloc “forwarders” yn y gosodiadau). Yn ogystal, mae gwaith wedi'i wneud i leihau maint yr ystadegau llofnod digidol sy'n cael eu storio er cof ar gyfer DNSSEC - mae nifer yr allweddi wedi'u tracio wedi'i leihau i 4 ar gyfer pob parth, sy'n ddigonol mewn 99% o achosion.
Mae'r dechneg “ail-rwymo DNS” yn caniatáu, pan fydd defnyddiwr yn agor tudalen benodol mewn porwr, i sefydlu cysylltiad WebSocket â gwasanaeth rhwydwaith ar y rhwydwaith mewnol nad yw'n hygyrch yn uniongyrchol trwy'r Rhyngrwyd. Er mwyn osgoi'r amddiffyniad a ddefnyddir mewn porwyr rhag mynd y tu hwnt i gwmpas y parth cyfredol (traws-darddiad), newidiwch yr enw gwesteiwr yn DNS. Mae gweinydd DNS yr ymosodwr wedi'i ffurfweddu i anfon dau gyfeiriad IP fesul un: mae'r cais cyntaf yn anfon IP go iawn y gweinydd gyda'r dudalen, ac mae ceisiadau dilynol yn dychwelyd cyfeiriad mewnol y ddyfais (er enghraifft, 192.168.10.1).
Mae'r amser i fyw (TTL) ar gyfer yr ymateb cyntaf wedi'i osod i isafswm gwerth, felly wrth agor y dudalen, mae'r porwr yn pennu IP go iawn gweinydd yr ymosodwr ac yn llwytho cynnwys y dudalen. Mae'r dudalen yn rhedeg cod JavaScript sy'n aros i'r TTL ddod i ben ac yn anfon ail gais, sydd bellach yn nodi'r gwesteiwr fel 192.168.10.1. Mae hyn yn caniatáu i JavaScript gael mynediad at wasanaeth o fewn y rhwydwaith lleol, gan osgoi'r cyfyngiad traws-darddiad. yn erbyn ymosodiadau o'r fath yn BIND yn seiliedig ar rwystro gweinyddwyr allanol rhag dychwelyd cyfeiriadau IP y rhwydwaith mewnol cyfredol neu arallenwau CNAME ar gyfer parthau lleol gan ddefnyddio'r gosodiadau gwadu-ateb-cyfeiriadau a gwadu-ateb-aliasau.
Ffynhonnell: opennet.ru