بهروزرسانیهای اصلاحی شاخههای پایدار سرور BIND DNS 9.11.18 و 9.16.2 و همچنین شاخه آزمایشی 9.17.1 که در حال توسعه است. در نسخه های جدید مشکل امنیتی مرتبط با دفاع ناکارآمد در برابر حملات "» هنگام کار در حالت درخواست های ارسال سرور DNS (بلوک "forwarders" در تنظیمات). علاوه بر این، کار برای کاهش اندازه آمار امضای دیجیتال ذخیره شده در حافظه برای DNSSEC انجام شده است - تعداد کلیدهای ردیابی شده به 4 برای هر منطقه کاهش یافته است که در 99٪ موارد کافی است.
تکنیک "DNS rebinding" به کاربر اجازه می دهد تا زمانی که کاربر صفحه خاصی را در مرورگر باز می کند، اتصال WebSocket را به یک سرویس شبکه در شبکه داخلی که مستقیماً از طریق اینترنت قابل دسترسی نیست، برقرار کند. برای دور زدن حفاظت مورد استفاده در مرورگرها در برابر فراتر رفتن از دامنه فعلی (مبدأ متقابل)، نام میزبان را در DNS تغییر دهید. سرور DNS مهاجم طوری پیکربندی شده است که دو آدرس IP را یکی یکی ارسال کند: اولین درخواست IP واقعی سرور را با صفحه ارسال می کند و درخواست های بعدی آدرس داخلی دستگاه را برمی گرداند (به عنوان مثال، 192.168.10.1).
زمان زنده بودن (TTL) برای اولین پاسخ روی حداقل مقدار تنظیم شده است، بنابراین هنگام باز کردن صفحه، مرورگر IP واقعی سرور مهاجم را تعیین می کند و محتویات صفحه را بارگذاری می کند. صفحه کد جاوا اسکریپت را اجرا می کند که منتظر می ماند تا TTL منقضی شود و درخواست دومی را ارسال می کند که اکنون میزبان را به عنوان 192.168.10.1 شناسایی می کند. این به جاوا اسکریپت اجازه می دهد تا به یک سرویس در شبکه محلی دسترسی داشته باشد و محدودیت منبع متقابل را دور بزند. در برابر چنین حملاتی در BIND مبتنی بر مسدود کردن سرورهای خارجی از بازگرداندن آدرسهای IP شبکه داخلی فعلی یا نامهای مستعار CNAME برای دامنههای محلی با استفاده از تنظیمات رد-پاسخ-آدرس و رد-پاسخ-نام مستعار است.
منبع: opennet.ru