Korrigearjende fernijings foar de stabile tûken fan 'e BIND DNS-tsjinner 9.11.18 en 9.16.2, lykas ek de eksperimintele tûke 9.17.1, dy't yn ûntwikkeling is. Yn nije releases feiligensprobleem ferbûn mei ineffektive ferdigening tsjin oanfallen "» as jo wurkje yn 'e modus fan in DNS-tsjinner trochstjoere fersiken (it blok "forwarders" yn 'e ynstellings). Derneist is wurk dien om de grutte te ferminderjen fan statistyk foar digitale hantekening opslein yn it ûnthâld foar DNSSEC - it oantal tracked kaaien is fermindere nei 4 foar elke sône, wat genôch is yn 99% fan 'e gefallen.
De technyk "DNS rebinding" lit, as in brûker in bepaalde side yn in browser iepenet, in WebSocket-ferbining meitsje mei in netwurktsjinst op it ynterne netwurk dat net direkt fia it ynternet tagonklik is. Om de beskerming dy't brûkt wurdt yn browsers tsjin te gean bûten it berik fan it hjoeddeistige domein (cross-origin), feroarje de hostnamme yn DNS. De DNS-tsjinner fan 'e oanfaller is konfigureare om twa IP-adressen ien foar ien út te stjoeren: it earste fersyk stjoert de echte IP fan' e tsjinner mei de side, en folgjende fersiken jouwe it ynterne adres fan it apparaat werom (bygelyks 192.168.10.1).
De tiid om te libjen (TTL) foar it earste antwurd is ynsteld op in minimale wearde, dus by it iepenjen fan 'e side bepaalt de browser de echte IP fan' e server fan 'e oanfaller en laadt de ynhâld fan' e side. De side rint JavaSkript-koade dy't wachtet oant de TTL ferrint en stjoert in twadde fersyk, dy't no de host identifisearret as 192.168.10.1. Hjirmei kin JavaSkript tagong krije ta in tsjinst binnen it lokale netwurk, troch de beheining fan cross-origin te omgean. tsjin sokke oanfallen yn BIND is basearre op it blokkearjen fan eksterne tsjinners fan it werombringen fan IP-adressen fan it aktuele ynterne netwurk of CNAME-aliassen foar lokale domeinen mei de ynstellings foar ûntken-antwurd-adressen en wegerje-antwurd-aliasen.
Boarne: opennet.ru