BIND DNS серверинин 9.11.18 жана 9.16.2 туруктуу бутактарына, ошондой эле иштеп жаткан 9.17.1 эксперименталдык бутагына түзөтүүчү жаңыртуулар. Жаңы чыгарылыштарда кол салуулардан натыйжасыз коргонуу менен байланышкан коопсуздук маселеси "» DNS серверинин суроо-талаптарын багыттоо режиминде иштегенде (жөндөөлөрдөгү “экспедиторлор” блогу). Мындан тышкары, DNSSEC үчүн эс тутумда сакталган санариптик колтамга статистикасынын көлөмүн азайтуу боюнча иштер аткарылды – ар бир зонага көз салынган ачкычтардын саны 4кө чейин кыскарган, бул 99% учурларда жетиштүү.
"DNS кайра байланыштыруу" техникасы колдонуучу браузерде белгилүү бир баракты ачканда, түздөн-түз Интернет аркылуу кирүүгө мүмкүн болбогон ички тармактагы тармак кызматына WebSocket байланышын түзүүгө мүмкүндүк берет. Учурдагы домендин (кайчылаш келип чыгышы) чегинен чыгуудан браузерлерде колдонулган коргоону айланып өтүү үчүн DNS'деги хосттун атын өзгөртүңүз. Чабуулчунун DNS сервери эки IP даректи бирден жөнөтүү үчүн конфигурацияланган: биринчи суроо сервердин чыныгы IP дарегин баракча менен жөнөтөт, ал эми кийинки суроо-талаптар аппараттын ички дарегин кайтарат (мисалы, 192.168.10.1).
Биринчи жооп үчүн жашоо убактысы (TTL) минималдуу мааниге коюлган, ошондуктан баракты ачууда браузер чабуулчунун серверинин чыныгы IP дарегин аныктайт жана барактын мазмунун жүктөйт. Барак JavaScript кодун иштетет, ал TTL мөөнөтү бүткүчө күтөт жана экинчи сурам жөнөтөт, ал эми хостту 192.168.10.1 катары аныктайт. Бул JavaScript'ке кайчылаш келип чыгуу чектөөсүн айланып өтүп, жергиликтүү тармактын ичиндеги кызматка кирүү мүмкүнчүлүгүн берет. BINDдеги мындай чабуулдарга каршы тышкы серверлердин учурдагы ички тармактын IP даректерин же жергиликтүү домендер үчүн CNAME лакап аттарын четке кагуу-жооп-даректерин жана жооп берүү-жооптордун лакап аттарынын жөндөөлөрүн колдонуу менен бөгөт коюуга негизделген.
Source: opennet.ru