BIND DNS-serveri stabiilsete harude 9.11.18 ja 9.16.2, samuti arendamisel oleva eksperimentaalse haru 9.17.1 korrigeerivad uuendused. Uutes väljaannetes turvaprobleem, mis on seotud ebatõhusa kaitsega rünnakute vastu "» DNS-serveri režiimis töötamisel päringute edastamine (seadete plokk "ekspediitorid"). Lisaks on tehtud tööd DNSSEC-i jaoks mällu salvestatava digiallkirjade statistika mahu vähendamiseks - jälgitavate võtmete arv on vähendatud iga tsooni jaoks 4-ni, mis on 99% juhtudest piisav.
DNS-i uuesti sidumise tehnika võimaldab, kui kasutaja avab brauseris teatud lehe, luua sisevõrgus oleva WebSocket-ühenduse võrguteenusega, millele pole otse Interneti kaudu juurdepääs. Selleks et vältida brauserites kasutatavat kaitset praeguse domeeni (ristpäritolu) ulatusest väljumise vastu, muutke DNS-is hostinime. Ründaja DNS-server on konfigureeritud saatma ükshaaval kahte IP-aadressi: esimene päring saadab koos lehega serveri tegeliku IP-aadressi ja järgnevad päringud tagastavad seadme siseaadressi (näiteks 192.168.10.1).
Elamisaeg (TTL) esimese vastuse jaoks on seatud minimaalsele väärtusele, seega lehe avamisel määrab brauser ründaja serveri tegeliku IP-aadressi ja laadib lehe sisu. Leht käivitab JavaScripti koodi, mis ootab TTL-i aegumist ja saadab teise päringu, mis nüüd tuvastab hosti kui 192.168.10.1. See võimaldab JavaScriptil juurdepääsu teenusele kohalikus võrgus, vältides ristpäritolu piirangut. BIND-i selliste rünnakute vastu võitlemine põhineb väliste serverite blokeerimisel praeguse sisevõrgu IP-aadresside või kohalike domeenide CNAME-aliaste tagastamisel, kasutades seadeid deny-vastuse-aadressid ja keelake vastuse-aliased.
Allikas: opennet.ru